פוסטים

"אם הייתם יכולים לכבות את הגלישה שלכם ברשת מהיום עד לבחירות זה היה אידיאלי" 

אירוע האבטחה שאירע באפליקציית "אלקטור" חשף את אזרחי ישראל לפגיעה בפרטיות ועשוי לסייע לגורמים פוליטיים לדכא הצבעה • הסכנות עשויות לגלוש מעבר לימי הבחירות • תקופת הדמדומים של השנה האחרונה היא שהחלישה את הגוף שהיה אמור לעצור את המחדל • ועל הדרך: כמה טיפים להתגוננות ממניפולציות לפני הבחירות • ראיון עם עו"ד יהונתן קלינגר, מומחה בפרטיות דיגיטלית

רוצה את מיטב הכתבות והתחקירים של שקוף ישירות לתיבה? פה נרשמים לניוזלטר.

| עידן בנימין |

"המילה הנכונה היא אירוע אבטחת מידע. אנחנו יודעים שהמידע אוחסן בצורה לא זהירה, אנחנו יודעים שהרשות להגנת הפרטיות חוקרת את זה. אנחנו לא יודעים בוודאות שאדם אחד שאב את כל המאגר לעצמו. אנחנו יכולים להעריך שארגוני ביון אחרים אספו מידע בסגנון הזה", כך סיפר יהונתן קלינגר, כששאלתי אותו על דליפת המאגר מאפליקציית אלקטור שבה השתמש הליכוד.

עו"ד קלינגר עומד בראשות הקליניקה להגנה על נתבעי תביעות השתקה בקריה האקדמית אונו מטעם התנועה לזכויות דיגיטליות. גילוי נאות: קלינגר גם מייצג את "שקוף" בעתירה לחשיפת הפוסטים שהממשלה ביקשה להסיר מהפייסבוק.

"זה זהה למצב שיש לך חנות תכשיטים ולא נעלת בלילה את הדלת", ממשיך קלינגר. "יכול להיות שלא נעלת ואף אחד לא פתח את הדלת. יכול להיות שהגיעו אנשי אבטחת מידע – אנשים טובים – שבדקו את הדלת וטרחו להודיע למשטרה שהחנות פתוחה ושצריך לשמור עליה. אבל יכול להיות גם שהם הגיעו אחרי שמישהו כבר גנב את התכשיטים". אך כאשר תכשיטים נגנבים, הבעלים לפחות יודעים שהם נגנבו.

עו"ד יהונתן קלינגר. צילום: גלעד אילוז

פרטים אישיים של 6,453,254 אזרחים נחשפו

"רן בר-זיק (יחד עם עדו קינן ונעם רותם, ע.ב) חשף פרצה שמאפשרת לראות את קוד הגישה למערכת. זו הייתה הבעיה הראשונה שנחשפה. זו הייתה תקלה חמורה – תארו שהייתם מצלצלים באינטרקום של בניין ובתגובה הייתם מקבלים חזרה את הסיסמאות לפתיחת הדלת. המשמעות שיכולתם להיכנס למערכת עם שם משתמש וסיסמה של מישהו אחר", מספר קלינגר.

בר זיק, מומחה אבטחה, פרסם בבלוג שלו כי פרטיהם האישיים (שם מלא, כתובת, מספר תעודת זהות, מין ועוד) של 6,453,254 אזרחים ואזרחיות ישראליים נחשפו. כל ממשלה זרה, ארגון ביון עוין / ידידותי או חברה מסחרית ישמחו להחזיק בנתונים הללו. בנוסף לספר הבוחרים, הליכוד גם העלתה לאפליקציה פרטים אישיים נוספים: מספר טלפון, קשרים משפחתיים, זיקה פוליטית ועוד. למעוניינות בפרטים הטכניים, בר זיק גם מספר באיזו קלות וכיצד הוא נכנס למערכת.

"הבעיה הראשונה ככל הנראה נפתרה, אך שבוע לאחר מכן התגלתה בעיה נוספת – חמורה הרבה יותר", אומר לנו קלינגר. "מפתחי אלקטור השתמשו בגיטהאב (Github) – משאב מעולה של קוד פתוח, שאנחנו מאוד אוהבים. הבעיה החמורה היא שקוד המקור של האפליקציה פתוח שם לכולם, והמפתחים השאירו שם גם את הסיסמאות שלהם". קלינגר מציין שהם מכחישים את הטענה הזו ולטענתם מדובר בקוד ישן ששימש למבחן קבלה והוא עתיק. "אבל זה לא משנה מה הם אומרים כי היו שם סיסמאות חיות", מסכם קלינגר. 

כאילו שלא שמתם מצלמת אבטחה בחנות תכשיטים

"כמעט כל מי שרוצה לקבל גישה למערכת בלי הגבלה יכול היה לקבל גישה לספר הבוחרים. אין תיעוד למי שנכנס למאגר. יכול להיות שממשלה כלשהי, האיראנית לדוגמא, הורידה את כל המאגר. אין תיעוד – אז אנחנו לא יכולים לדעת", מספר קלינגר. "בהקבלה לעולם הפיזי – זה כמו לא להתקין מצלמות אבטחה בחנות התכשיטים שלך".

פנקסנות היא הבעיה האמיתית

"מעבר לפרצות האבטחה הבעיה היא שמפלגת השלטון מנהלת פנקסנות מי תומך בה ומי לא. היא משתמשת במידע הזה כדי להמריץ או לדכא הצבעה בצורה קריטית. באמצעות האפליקציה הם אוספים עליך מידע – לדוגמא הם יודעים שאתה מצביע למפלגת הגמלאים אבל דודה שלך מצביעה לליכוד. כך הם יכולים לבקש מדודה שלך להפעיל עליך לחץ ישירות ולבקש ממנה לצלצל אליך".

הסכנה הגדולה: דיכוי בוחרים ואפילו הונאה ביום הבחירות

"העניין היותר מסוכן הוא אם אתה מצביע לרשימה המשותפת ואני יודע שאין דרך להעביר אותך לליכוד. אני יכול לשלוח לך הודעה ביום הבחירות ולכתוב שבגלל הגשם או הקורונה הקלפי שלך נסגרה ועליך להגיע להצביע בהרצליה. גם אם תטרח להגיע להצביע ביעד המרוחק – לא יקבלו אותך. כיום אין דרך לשייך הודעות SMS בחזרה לאחת המפלגות. בליכוד יוכלו להגיד: "לא שלחנו". 

"זה עוד קל", אומר קלינגר ומוסיף: "אפשר לזהות ציבור מצביעי ש"ס ולהתקשר אליהם עם הקלטה מזויפת של אריה דרעי שאומרת משהו בסגנון: "יש לנו מספיק קולות, הרב עובדיה עזר לנו, עכשיו צריך לחזק את הליכוד".

לא רוצים להעסיק מצביעי ליכוד? המערכת תעזור לכם

"יותר מזה, תדמיין שבעוד שנתיים או שלוש המעסיק שלך יוכל לקבל עותק מהמאגר – אם הוא דלף – ולבדוק אם אתה תומך ליכוד או לא. הוא יפתח את המאגר ויבדוק מה כתבו עליך לפני שנתיים ואולי העובדה שאתה תומך או מתנגד לליכוד תגרום לו לשקול אם להעסיק אותך כלומר, המאגר הזה יכול לשמש להרבה דברים".

למה לא עוצרים את זה? 

"אלון בכר עזב את תפקידו כיו"ר הרשות להגנת הפרטיות לפני כמעט שנתיים, מאז היא מתנהלת עם יו"ר זמני שהיא גם יו"ר הרשות לאיסור הלבנת הון" (ד"ר שלומית וגמן, ע.ב), מסביר קלינגר. "הרשות הזו כפופה לשר המשפטים וצריכים למנות ועדת איתור שתבחר את ראש הרשות החדש. איזה טמבל יהיה מספיק אמיץ לעשות דברים שיכעיסו פוליטיקאי שעשוי להחליט אם לקדמו? אז הרשות הזו לא מתפקדת כי אין לה ראש. גם שהיא מתפקדת יש עליה מכבש לחצים פוליטי. שר המשפטים יבחר את מי יקדמו לראש הרשות. בנוסף, התקציב של הרשות לא מובטח. מי האדם שיסכים לטפל בזה?"

בסוף הראיון ביקשנו מקלינגר מספר עצות שכולנו נוכל ליישם. הנה 3 טיפים פשוטים:

  • לא לענות לסקרים טלפוניים, גם בהודעות. הפעולות הללו נועדו לאסוף עליכם מידע.
  • להיזהר מתעמולה. אם הייתם יכולים לכבות את הגלישה שלכם ברשת מהיום עד לבחירות זה היה אידיאלי. הרבה שקרים מופצים כדי להשפיע על הצבעתכם. "מתישהו אנחנו נתקן את החוק ולא נאפשר להם לעשות את זה", אומר קלינגר.
  • בדקו את העובדות ומי מציג אותן. יש המון בוטים וכדאי לא להסתמך על מידע שמגיע מקורות לא מוכרים וללא הוכחות.