למרות פרצת האבטחה: בליכוד עדיין משתמשים ב"אלקטור"

יממה אחרי הפרסומים על פרצת האבטחה החמורה באפליקציית "אלקטור" המשמשת את הליכוד, שחשפה את פרטיהם של כל הבוחרים, במפלגה עדיין ממשיכים להשתמש בה. גם הודעת הרשות להגנת הפרטיות אמש (שני) כי פתחה בהליך פיקוח בחשד להפרת החוק והתקנות להגנת הפרטיות, עדיין לא הובילו את הליכוד להודיע על הפסקת השימוש באפליקציה, או לכל הפחות על השהייתו.

כל העדכונים על בחירות 2020 במקום אחד - מתחם הבחירות של ynet

בליכוד התנערו מאחריות לפרצה ומסרו אתמול: "'אלקטור' היא ספק חיצוני שמספקת שירותים למפלגות רבות וביניהן הליכוד. האחריות המקצועית והמשפטית היא עליה. הליכוד עושה כל מאמץ מצידו, בכל הקשור לנתונים הקשורים אליו ואל בוחריו, כדי לאבטח את המידע ולדאוג לשמירתו המלאה על פי החוק והסטנדרטים המקובלים".

נתניהו בסרטון שמקדם את השימוש באפליקציה הפרוצה

הפרצה, מהחמורות שנחשפו בישראל בשנים האחרונות, חושפת את פרטיהם האישיים כל כל 6.5 מיליון האזרחים הרשומים בפנקס הבוחרים של מדינת ישראל. האפליקציה מבוססת על מאגר מידע ענקי שבבסיסו יושב פנקס הבוחרים ושמכיל מידע אישי עדכני - תעודת זהות, שם מלא, כתובת ומספר טלפון - של בעלי זכות הבחירה, לצד מידע מפורט ורגיש של עשרות אלפים, כמו סטטוס התמיכה שלהם בליכוד, שנאסף בחודשים האחרונים על ידי פעילי הליכוד בשטח.

אפליקציות מסוגה של "אלקטור" מאפשרות לפעילי שטח לזהות מכרים וקרובים כתומכי המפלגה שלהם, ולצרף אותם באמצעות האפליקציה למאגר המידע של המפלגה. המאגר עצמו מוזן על ידי מידע ממקורות אחרים - פנקס הבוחרים, מענה לסקרי SMS - על מנת ליצור רשימות מפולחות של תומכים ומתנגדים.

ביום הבחירות עצמו, משקיפים בקלפיות משתמשים באפליקציות על מנת לתעד אילו בוחרים כבר הגיעו להצביע. המידע הזה מאפשר למפלגה לבצע שלל פעולות, כמו קמפיין ממוקד אישית להמרצת תומכים לקלפיות, פניות שנועדו לשכנע מתנגדים להישאר בבית, ואפילו פותח פתח לביצוע זיופים.

צילום מסך של אפליקצית "אלקטור"

בתגובה על הפרסומים על פרצת האבטחה החמורה אמרו בליכוד כי "האבטחה על פעילות האתרים תוגברה". גם החברה עצמה טענה כי "מדובר באירוע נקודתי שטופל באופן מיידי, ובעקבותיו תוגברה האבטחה באופן משמעותי". אך למרות זאת, מפקחי הרשות להגנת הפרטיות הגיעו למשרדי החברה שמפעילה את אפליקציית אלקטור. הרשות, שכפופה למשרד המשפטים, מסרה כי היא גם "פועלת מול הגורמים המוסמכים למניעת המשך הדלף, בתיאום עם מכלול הרשויות הרלוונטיות".

"האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות, לרבות אבטחת המידע שבפנקס הבוחרים, מוטלת בראש ובראשונה על המפלגות", הדגישו אתמול ברשות, "גם ובמיוחד כאשר הן נעזרות בספקי מיקור חוץ, והן עלולות לשאת באחריות פלילית או אזרחית במקרה של הפרת הוראות חוק הגנת הפרטיות".

ראש הממשלה בנימין נתניהו קידם בעצמו את השימוש באפליקציית אלקטור. בסרטון שהופץ בתחילת מערכת הבחירות אמר נתניהו: "מתנדבות ומתנדבים, פעילות ופעילים, בבחירות הקרובות אנחנו נשתמש באפליקציה אלקטור. זה יעזור לנו להבטיח את ניצחון הליכוד. אני מבקש מכם לעקוב אחר ההוראות, לעבוד עם האפליקציה. אני סומך עליכם, אני בטוח שנצליח". בסרטון הוסבר לפעילים בפירוט כיצד להשתמש באפליקציה כדי לסמן תומכים פוטנציאליים, לקשר את פרטיהם לאלו המופיעים בספר הבוחרים, לרכז את מספרי הטלפון שלהם ועוד.

המתכנת הבכיר רן בר זיק, שחשף את פרצת האבטחה, הסביר לכלכליסט את משמעויות הפרצה: "כל ארגון ביון, מדינה זרה או אפילו חברה מסחרית יכולה לקבל את המידע על כל אדם ואדם בישראל". בר זיק, שדיווח על הפרצה למערך הסייבר, הוסיף: "ראיתי פרצות רבות בימי חיי, כזו פרצה מגוחכת שעשתה כל כך הרבה נזק, עוד לא ראיתי".

המתכנת בר זיק הסביר כמה קל לגשת למידע האישי של הבוחרים. ראשית, יש לגלוש לאתר של אלקטור ולבקש מהדפדפן להציג את קוד המקור שלו - פעולה שניתן לבצע בקלות באמצעות כל דפדפן. קוד המקור כלל קישור פנימי לאתר אלקטור, שבו נכתב בין השאר get־admins־users. הזנת קישור זה בדפדפן הציגה את פרטי ההתחברות למערכת של כל המשתמשים עם הרשאת גישה למידע ברמה הגבוה ביותר. כאשר התחבר בר זיק למערכת באמצעות שם המשתמש "הליכוד לכנסת" הוא קיבל למעשה גישה מלאה לכל מאגר המידע שהקימה המפלגה וניהלה לקראת הבחירות הקרובות.

במאגר גם נחשפו פרטים שונים ויכולות של הקמפיין של הליכוד. למשל, המערכת של אלקטור מאפשרת למשתמשים לשלוח דרכה הודעות SMS לאזרחים שמספר הסלולר שלהם שמור במאגר המידע. הליכוד רכש מראש 750 אלף הודעות SMS, ובעת שבר זיק בדק את המערכת שלח כבר 300 אלף מהם. לו רצה, יכול היה בר זיק לשלוח את 450 אלף ההודעות הנותרות.