פוסטים

"אם הייתם יכולים לכבות את הגלישה שלכם ברשת מהיום עד לבחירות זה היה אידיאלי" 

אירוע האבטחה שאירע באפליקציית "אלקטור" חשף את אזרחי ישראל לפגיעה בפרטיות ועשוי לסייע לגורמים פוליטיים לדכא הצבעה • הסכנות עשויות לגלוש מעבר לימי הבחירות • תקופת הדמדומים של השנה האחרונה היא שהחלישה את הגוף שהיה אמור לעצור את המחדל • ועל הדרך: כמה טיפים להתגוננות ממניפולציות לפני הבחירות • ראיון עם עו"ד יהונתן קלינגר, מומחה בפרטיות דיגיטלית

רוצה את מיטב הכתבות והתחקירים של שקוף ישירות לתיבה? פה נרשמים לניוזלטר.

| עידן בנימין |

"המילה הנכונה היא אירוע אבטחת מידע. אנחנו יודעים שהמידע אוחסן בצורה לא זהירה, אנחנו יודעים שהרשות להגנת הפרטיות חוקרת את זה. אנחנו לא יודעים בוודאות שאדם אחד שאב את כל המאגר לעצמו. אנחנו יכולים להעריך שארגוני ביון אחרים אספו מידע בסגנון הזה", כך סיפר יהונתן קלינגר, כששאלתי אותו על דליפת המאגר מאפליקציית אלקטור שבה השתמש הליכוד.

עו"ד קלינגר עומד בראשות הקליניקה להגנה על נתבעי תביעות השתקה בקריה האקדמית אונו מטעם התנועה לזכויות דיגיטליות. גילוי נאות: קלינגר גם מייצג את "שקוף" בעתירה לחשיפת הפוסטים שהממשלה ביקשה להסיר מהפייסבוק.

"זה זהה למצב שיש לך חנות תכשיטים ולא נעלת בלילה את הדלת", ממשיך קלינגר. "יכול להיות שלא נעלת ואף אחד לא פתח את הדלת. יכול להיות שהגיעו אנשי אבטחת מידע – אנשים טובים – שבדקו את הדלת וטרחו להודיע למשטרה שהחנות פתוחה ושצריך לשמור עליה. אבל יכול להיות גם שהם הגיעו אחרי שמישהו כבר גנב את התכשיטים". אך כאשר תכשיטים נגנבים, הבעלים לפחות יודעים שהם נגנבו.

עו"ד יהונתן קלינגר. צילום: גלעד אילוז

פרטים אישיים של 6,453,254 אזרחים נחשפו

"רן בר-זיק (יחד עם עדו קינן ונעם רותם, ע.ב) חשף פרצה שמאפשרת לראות את קוד הגישה למערכת. זו הייתה הבעיה הראשונה שנחשפה. זו הייתה תקלה חמורה – תארו שהייתם מצלצלים באינטרקום של בניין ובתגובה הייתם מקבלים חזרה את הסיסמאות לפתיחת הדלת. המשמעות שיכולתם להיכנס למערכת עם שם משתמש וסיסמה של מישהו אחר", מספר קלינגר.

בר זיק, מומחה אבטחה, פרסם בבלוג שלו כי פרטיהם האישיים (שם מלא, כתובת, מספר תעודת זהות, מין ועוד) של 6,453,254 אזרחים ואזרחיות ישראליים נחשפו. כל ממשלה זרה, ארגון ביון עוין / ידידותי או חברה מסחרית ישמחו להחזיק בנתונים הללו. בנוסף לספר הבוחרים, הליכוד גם העלתה לאפליקציה פרטים אישיים נוספים: מספר טלפון, קשרים משפחתיים, זיקה פוליטית ועוד. למעוניינות בפרטים הטכניים, בר זיק גם מספר באיזו קלות וכיצד הוא נכנס למערכת.

"הבעיה הראשונה ככל הנראה נפתרה, אך שבוע לאחר מכן התגלתה בעיה נוספת – חמורה הרבה יותר", אומר לנו קלינגר. "מפתחי אלקטור השתמשו בגיטהאב (Github) – משאב מעולה של קוד פתוח, שאנחנו מאוד אוהבים. הבעיה החמורה היא שקוד המקור של האפליקציה פתוח שם לכולם, והמפתחים השאירו שם גם את הסיסמאות שלהם". קלינגר מציין שהם מכחישים את הטענה הזו ולטענתם מדובר בקוד ישן ששימש למבחן קבלה והוא עתיק. "אבל זה לא משנה מה הם אומרים כי היו שם סיסמאות חיות", מסכם קלינגר. 

כאילו שלא שמתם מצלמת אבטחה בחנות תכשיטים

"כמעט כל מי שרוצה לקבל גישה למערכת בלי הגבלה יכול היה לקבל גישה לספר הבוחרים. אין תיעוד למי שנכנס למאגר. יכול להיות שממשלה כלשהי, האיראנית לדוגמא, הורידה את כל המאגר. אין תיעוד – אז אנחנו לא יכולים לדעת", מספר קלינגר. "בהקבלה לעולם הפיזי – זה כמו לא להתקין מצלמות אבטחה בחנות התכשיטים שלך".

פנקסנות היא הבעיה האמיתית

"מעבר לפרצות האבטחה הבעיה היא שמפלגת השלטון מנהלת פנקסנות מי תומך בה ומי לא. היא משתמשת במידע הזה כדי להמריץ או לדכא הצבעה בצורה קריטית. באמצעות האפליקציה הם אוספים עליך מידע – לדוגמא הם יודעים שאתה מצביע למפלגת הגמלאים אבל דודה שלך מצביעה לליכוד. כך הם יכולים לבקש מדודה שלך להפעיל עליך לחץ ישירות ולבקש ממנה לצלצל אליך".

הסכנה הגדולה: דיכוי בוחרים ואפילו הונאה ביום הבחירות

"העניין היותר מסוכן הוא אם אתה מצביע לרשימה המשותפת ואני יודע שאין דרך להעביר אותך לליכוד. אני יכול לשלוח לך הודעה ביום הבחירות ולכתוב שבגלל הגשם או הקורונה הקלפי שלך נסגרה ועליך להגיע להצביע בהרצליה. גם אם תטרח להגיע להצביע ביעד המרוחק – לא יקבלו אותך. כיום אין דרך לשייך הודעות SMS בחזרה לאחת המפלגות. בליכוד יוכלו להגיד: "לא שלחנו". 

"זה עוד קל", אומר קלינגר ומוסיף: "אפשר לזהות ציבור מצביעי ש"ס ולהתקשר אליהם עם הקלטה מזויפת של אריה דרעי שאומרת משהו בסגנון: "יש לנו מספיק קולות, הרב עובדיה עזר לנו, עכשיו צריך לחזק את הליכוד".

לא רוצים להעסיק מצביעי ליכוד? המערכת תעזור לכם

"יותר מזה, תדמיין שבעוד שנתיים או שלוש המעסיק שלך יוכל לקבל עותק מהמאגר – אם הוא דלף – ולבדוק אם אתה תומך ליכוד או לא. הוא יפתח את המאגר ויבדוק מה כתבו עליך לפני שנתיים ואולי העובדה שאתה תומך או מתנגד לליכוד תגרום לו לשקול אם להעסיק אותך כלומר, המאגר הזה יכול לשמש להרבה דברים".

למה לא עוצרים את זה? 

"אלון בכר עזב את תפקידו כיו"ר הרשות להגנת הפרטיות לפני כמעט שנתיים, מאז היא מתנהלת עם יו"ר זמני שהיא גם יו"ר הרשות לאיסור הלבנת הון" (ד"ר שלומית וגמן, ע.ב), מסביר קלינגר. "הרשות הזו כפופה לשר המשפטים וצריכים למנות ועדת איתור שתבחר את ראש הרשות החדש. איזה טמבל יהיה מספיק אמיץ לעשות דברים שיכעיסו פוליטיקאי שעשוי להחליט אם לקדמו? אז הרשות הזו לא מתפקדת כי אין לה ראש. גם שהיא מתפקדת יש עליה מכבש לחצים פוליטי. שר המשפטים יבחר את מי יקדמו לראש הרשות. בנוסף, התקציב של הרשות לא מובטח. מי האדם שיסכים לטפל בזה?"

בסוף הראיון ביקשנו מקלינגר מספר עצות שכולנו נוכל ליישם. הנה 3 טיפים פשוטים:

  • לא לענות לסקרים טלפוניים, גם בהודעות. הפעולות הללו נועדו לאסוף עליכם מידע.
  • להיזהר מתעמולה. אם הייתם יכולים לכבות את הגלישה שלכם ברשת מהיום עד לבחירות זה היה אידיאלי. הרבה שקרים מופצים כדי להשפיע על הצבעתכם. "מתישהו אנחנו נתקן את החוק ולא נאפשר להם לעשות את זה", אומר קלינגר.
  • בדקו את העובדות ומי מציג אותן. יש המון בוטים וכדאי לא להסתמך על מידע שמגיע מקורות לא מוכרים וללא הוכחות.

כסף ציבורי ללא פיקוח: חברת אל על מגדילה את תקציב האבטחה ללא קשר לכמות הנוסעים

תקציב האבטחה של אל על, ש-97% ממנו מגיע מהכיס שלנו, עולה משנה לשנה בעשרות מיליוני שקלים, בעוד מספר הנוסעים לא משתנה • ב-2018 לבדה שילמה המדינה (כלומר, אנחנו) לאל על כמעט מיליארד שקל על הוצאות אבטחה • אם זה לא מספיק, החברה ממשיכה לאבטח טיסות שלה המתבצעות על ידי מטוסים של חברות תעופה זרות, למרות שהשב"כ הביע בעבר ספקות לגבי נחיצות העניין.

רוצה את מיטב הכתבות והתחקירים של שקוף ישירות לתיבה? פה נרשמים לניוזלטר.

| עידן בנימין |

תקציב האבטחה של אל על עולה משנה לשנה בעשרות מיליוני שקלים – אך בדיקת "שקוף" מגלה כי למרות העלייה בתקציב, מספר הנוסעים בחברה אינו עולה. 

לפי הדו"חות הכספיים של החברה, בשנת 2016 וגם בשנת 2017 טסו עם אל על כ-5.5 מיליון נוסעים, וב-2018 כ-5.6 מיליון נוסעים. כלומר, למרות שבין 2016 ל-2018 ישנה עלייה של קרוב לשני אחוזים בלבד במספר הטסים, עלות האבטחה עלתה ביותר מ-22 אחוז (!), מ-616 מיליון שקל ל-756 מיליון שקל. 

תקציב האבטחה של אל על – כמעט לגמרי במימון המדינה 

כזכור, ב-2008 החלה המדינה להעלות את השתתפותה בתקציב האבטחה של אל על ויתר חברות התעופה הישראליות, כפיצוי על הרפורמה המבורכת של "שמיים פתוחים". רפורמה זו פתחה את שוק התעופה המקומי לתחרות והסירה את ההגבלות על מספר החברות שיכולות להפעיל טיסות בין ישראל ומחוצה לה, ועל התדירות של טיסות אלה. מאחר וחברות התעופה הישראליות נדרשות לסידורי ביטחון הדוקים יותר מהחברות הזרות שפתאום הציפו את השוק – המדינה מסבסדת מאז את עלויות האבטחה. 

טרם הרפורמה, השתתפה המדינה בכ-65% מהוצאות האבטחה. אלא שב-2013, שר האוצר דאז יאיר לפיד, אישר לחברות התעופה העלאה במימון האבטחה ל-97.5%. ומה קרה מאז? כפי שחשפנו, עלות האבטחה למדינה בכל שנה ממשיכה לטפס. 

* אל על כוללת את חברת סאן דור (מותג לואו קוסט).

פנינו לחברת אל על ושאלנו מדוע תקציב האבטחה עולה למרות הקיפאון בכמות הנוסעים. מטעם החברה נמסר לנו כי "תקציב אבטחת התעופה הינו עבור כלל חברות התעופה הישראליות ולא עבור אל על בלבד והוא מבטא גידול של חברות התעופה הישראליות. התקציב המדובר נקבע ומאושר על ידי גורמי הממשלה והגורמים הממלכתיים. החלטה לקיים בטחון נוסף בטיסות חברות התעופה הישראליות הינה מתוקף החלטת ממשלת ישראל. מאחר וחברות התעופה הזרות הטסות לישראל אינן מחויבות לקיים ביטחון דומה, החליטה המדינה על השתתפותה בהוצאות הביטחון, על מנת לשמור על שוויוניות והוגנות בתחרות בתעופה לישראל, במיוחד בעידן השמיים הפתוחים. היקף הביטחון המקוים מוכתב על ידי הגורמים הממלכתיים".

אל על ממשיכה לאבטח מטוסים זרים – למרות ספקות שב"כ בנושא

האתוס הביטחוני של אל על נשען על אבטחת מטוסי החברה.  אך מסתבר שהחברה מאבטחת גם חברות תעופה זרות כשהיא חוכרת מטוסים על צוותם, כלומר מטוס זר עם צוות זר, מה שנקרא – "חכירה רטובה". הדבר מתייחס לאופן בו אתם יכולים לרכוש כרטיס טיסה מאל על, ולמצוא את עצמכם במטוס של טורקיש אירליינס עם צוות וטייס טורקי.  

האם צריך לאבטח גם מטוסים שלא שייכים לצי של חברת התעופה הלאומית? לנו אין את הכלים לקבוע, אך מסתבר שכבר ב-2016, לקראת תקציב המדינה לשנים 2017-2018, הביע השב"כ הסתייגות מאבטחת מטוסים בחכירה רטובה מתוך הבנה כי למטוס זר אין סממנים ישראלים ומיותר לאבטח אותו. המהלך היה צפוי לחסוך כבר ב-2017 כ-40 מיליון שקל מתקציב המדינה. אם בשנת 2013 נרשמו כ-30 טיסות בחכירה רטובה, בשנת 2016 היו כבר כ-1200 טיסות כאלו. 

פנינו למשרד האוצר ושאלנו מדוע למרות המלצת השב"כ להוריד את האבטחה מטיסות אלו ממשיכים לאבטח אותן. מטעם המשרד נמסר: 

"1. האוצר מתקצב עלויות האבטחה של כלל הטיסות של חברות ישראליות מחו"ל לישראל לרבות טיסות המתבצעות בחכירה רטובה.

2. בהתאם להנחיות של הגורם המנחה (שב״כ) יש צורך לאבטח את כלל הטיסות. בעבר השב״כ המליץ להוריד את האבטחה מטיסות אלו אך ההחלטה בנושא לא עברה (הדגשה ע.ב)."

פנינו גם למשרד התחבורה משם נמסר: "נושא אבטחת טיסות בחכירה רטובה נמצא באחריות שירות הביטחון הכללי. יצוין כי לא מוכרת לנו עמדה של שב"כ שאומרת שאין צורך ביטחוני לאבטח מטוסים בחכירה רטובה (הדגשה ע.ב)".

סבסוד אבטחת הנוסעים על ידי המדינה? כפול ממה שחשבנו

ביוני האחרון חשפנו כיצד למרות השתתפות המדינה בעלויות האבטחה של חברות התעופה הישראליות, תקציב האבטחה שלהן ממשיך לגדול בקצר מסחרר. חישבנו ומצאנו שכל נוסע בחברת אל על מסובסד בכ-135 שקלים על ידי המדינה. את החישוב ביצענו על פי כמות הנוסעים בחברה, בהנחה שכמות הנוסעים מחושבת לפי שני כיוונים. בפועל מי שטס לטיול בתאילנד וחזר לארץ נספר פעמיים, כשני נוסעים. מתוך הבנה שהרוב המוחלט של הנוסעים טס בכרטיס דו כיווני הסכום הוא כפול, כך שלדוגמה בשנת 2018 כל נוסע באל על סובסד על ידי המדינה בכ-270 שקלים.

דו"ח של רשות התעופה האזרחית מהשנה האחרונה הצביע על סוגיית המימון מהמדינה ככזו שהורידה את ההוצאות התפעוליות של החברה: "הגדלת השיעור במימון המדינה הובילה להפחתת ההוצאות התפעוליות של החברה בסדר גודל משמעותי הנע בין 20 מיליון דולר במהלך שנת 2013 ל-46 מיליון דולר במהלך שנת 2018".

האם יכול להיות שהאיומים הביטחוניים על הטיסות גדלו ומצריכים מאל על מענה יקר יותר? קשה לקבוע. זו טענה שלא נשמעה מחברת התעופה ולא מהגורמים ששוחחנו איתם. מי שכן יכול לבדוק ולפקח על הנושא היא ועדת חוץ ובטחון בכנסת. 

אזמ"ע (איך זה משפיע עלינו): המדינה הוציאה בשנת 2018 קרוב למיליארד שקל על אבטחת כלל חברות התעופה. הסבסוד המלא לאבטחה נמצא בפיקוח אל על, המפעילה אותו ומספקת שירותים לשאר חברות התעופה הישראליות ויוצרת בכך ניגוד עניינים בניהול התקציב ובכך מובילה לכאורה לבזבוז כספי ציבור שיכלו להגיע למקומות אחרים. 

מעש"י (מה עושים (כדי) שיתוקן): הסכם האבטחה של אל על אמור להיחתם מחדש לקראת 2020. הכנסת חייבת לקיים דיון מקיף בנושא, ולהתחיל בשאלה מדוע תקציב האבטחה עולה למרות שמספר הנוסעים לא.