חוקר אבטחה גילה ברשת את המערכת שפיתחה חברת הסייבר הישראלית NSO לאיתור מגעים (contact tracing) של חולי קורונה כאשר היא אינה מוגנת בסיסמה ונגישה לכל משתמש - כך מדווח היום (א') אתר הטכנולוגיה TechCrunch. ב-NSO הסירו את המערכת מהרשת ואמרו בתגובה כי לא מדובר בתקלת אבטחה. לטענת החברה, המערכת עלתה למטרת הדגמה ולא כללה מידע רגיש.
לוגו חברת NSOלוגו חברת NSO
חברת NSO. טרם קיבלה אישור להזין נתונים בישראל
(צילום: אוראל כהן)
בסוף מרץ הודיע שר הביטחון נפתלי בנט על פיתוח של מערכת לאיתור מגעים של חולי קורונה, בנוסף למעקב של שב"כ. תוך זמן קצר נחשף כי מי שעומדת מאחורי המערכת היא חברת הסייבר השנויה במחלוקת NSO, שנמצאת בין היתר בסכסוך משפטי עם פייסבוק וספגה ביקורת קשה מארגוני זכויות אדם בשנים האחרונות.
המערכת, שנקראת "פלמינג", אמורה לקבל ממשרד הבריאות מידע על חולי קורונה מאובחנים ובמקביל נתוני מיקום מחברות הסלולר. המטרה: לאתר אנשים שהיו במגע עם חולי קורונה ולהזהיר אותם. NSO טרם קיבלה אישור מהממשלה להזין מידע למערכת, אולם היא כבר הציגה אותה לעיתונאים ולנציגי ממשלות מרחבי העולם.
ב-NSO טוענים כי המערכת שאותרה על-ידי חוקר האבטחה בוב דיאצ'נקו על שרת של חברת AWS, היא למעשה אותה ההדגמה. מאגר המידע כלל נתונים על שישה שבועות, בין 10 במרץ ל-23 באפריל. מדובר בין היתר בנתוני מיקום מתוארכים של "המטרה" - הכינוי של החברה לאדם שאולי היה במגע עם חולה קורונה. המידע כולל גם את משך המפגש בין השניים, כשהמטרה היא לאמוד את הסיכוי להדבקה.
נפתלי בנטנפתלי בנט
שר הביטחון נפתלי בנט. חשף את המערכת
(צילום: יריב כץ)
ב-NSO אומרים כי המידע "מבוסס על אילוסטרציה מעורבלת של נתונים אקראיים ואינו מכיל כל מידע מזהה אישי". עם זאת, מומחי אבטחה אומרים כי המערכת לא הייתה אמורה להיות פתוחה מלכתחילה, וכי מאגרי מידע ריכוזיים המכילים נתוני מיקום הם סכנת אבטחה ופרטיות. "לא לאבטח שרת זאת מבוכה אפילו לפרויקט בית-ספר", אמר ג'ון סקוט-רייטלון, חוקר בכיר ב-Citizen Lab של אוניברסיטת טורונטו, "כאשר חברה ששווה מיליארדי דולרים לא מאבטחת באמצעות סיסמה פרויקט סודי שאמור לטפל בנתוני מיקום ובריאות, הדבר עשוי להצביע על השקה זריזה ומרושלת".
מ-NSO נמסר בתגובה: "חברת NSO הצליחה לפתח במהירות חסרת תקדים מערכת אנליטית ייחודית לשימוש אזרחי על-ידי מקבלי ההחלטות, לטובת ניהול התפשטות מגפת הקורונה לצד ניהול החזרת המשק לפעילות. דמו של המערכת הוצג באופן שקוף ובתפוצה כלל עולמית הן ללמעלה מ-100 מדינות והן לעשרות עיתונאים בארץ ובעולם. הדמו הועלה בשקיפות מלאה לשרת ייעודי לטובת ההדגמה למדינות, לחוקרים, עיתונאים ולכל המעוניין. הדמו מבוסס על אילוסטרציה מעורבלת של נתונים אקראיים ואינו מכיל כל מידע מזהה אישי, שממילא לא מצוי בידי החברה".