פוסטים

"אם הייתם יכולים לכבות את הגלישה שלכם ברשת מהיום עד לבחירות זה היה אידיאלי" 

אירוע האבטחה שאירע באפליקציית "אלקטור" חשף את אזרחי ישראל לפגיעה בפרטיות ועשוי לסייע לגורמים פוליטיים לדכא הצבעה • הסכנות עשויות לגלוש מעבר לימי הבחירות • תקופת הדמדומים של השנה האחרונה היא שהחלישה את הגוף שהיה אמור לעצור את המחדל • ועל הדרך: כמה טיפים להתגוננות ממניפולציות לפני הבחירות • ראיון עם עו"ד יהונתן קלינגר, מומחה בפרטיות דיגיטלית

רוצה את מיטב הכתבות והתחקירים של שקוף ישירות לתיבה? פה נרשמים לניוזלטר.

| עידן בנימין |

"המילה הנכונה היא אירוע אבטחת מידע. אנחנו יודעים שהמידע אוחסן בצורה לא זהירה, אנחנו יודעים שהרשות להגנת הפרטיות חוקרת את זה. אנחנו לא יודעים בוודאות שאדם אחד שאב את כל המאגר לעצמו. אנחנו יכולים להעריך שארגוני ביון אחרים אספו מידע בסגנון הזה", כך סיפר יהונתן קלינגר, כששאלתי אותו על דליפת המאגר מאפליקציית אלקטור שבה השתמש הליכוד.

עו"ד קלינגר עומד בראשות הקליניקה להגנה על נתבעי תביעות השתקה בקריה האקדמית אונו מטעם התנועה לזכויות דיגיטליות. גילוי נאות: קלינגר גם מייצג את "שקוף" בעתירה לחשיפת הפוסטים שהממשלה ביקשה להסיר מהפייסבוק.

"זה זהה למצב שיש לך חנות תכשיטים ולא נעלת בלילה את הדלת", ממשיך קלינגר. "יכול להיות שלא נעלת ואף אחד לא פתח את הדלת. יכול להיות שהגיעו אנשי אבטחת מידע – אנשים טובים – שבדקו את הדלת וטרחו להודיע למשטרה שהחנות פתוחה ושצריך לשמור עליה. אבל יכול להיות גם שהם הגיעו אחרי שמישהו כבר גנב את התכשיטים". אך כאשר תכשיטים נגנבים, הבעלים לפחות יודעים שהם נגנבו.

עו"ד יהונתן קלינגר. צילום: גלעד אילוז

פרטים אישיים של 6,453,254 אזרחים נחשפו

"רן בר-זיק (יחד עם עדו קינן ונעם רותם, ע.ב) חשף פרצה שמאפשרת לראות את קוד הגישה למערכת. זו הייתה הבעיה הראשונה שנחשפה. זו הייתה תקלה חמורה – תארו שהייתם מצלצלים באינטרקום של בניין ובתגובה הייתם מקבלים חזרה את הסיסמאות לפתיחת הדלת. המשמעות שיכולתם להיכנס למערכת עם שם משתמש וסיסמה של מישהו אחר", מספר קלינגר.

בר זיק, מומחה אבטחה, פרסם בבלוג שלו כי פרטיהם האישיים (שם מלא, כתובת, מספר תעודת זהות, מין ועוד) של 6,453,254 אזרחים ואזרחיות ישראליים נחשפו. כל ממשלה זרה, ארגון ביון עוין / ידידותי או חברה מסחרית ישמחו להחזיק בנתונים הללו. בנוסף לספר הבוחרים, הליכוד גם העלתה לאפליקציה פרטים אישיים נוספים: מספר טלפון, קשרים משפחתיים, זיקה פוליטית ועוד. למעוניינות בפרטים הטכניים, בר זיק גם מספר באיזו קלות וכיצד הוא נכנס למערכת.

"הבעיה הראשונה ככל הנראה נפתרה, אך שבוע לאחר מכן התגלתה בעיה נוספת – חמורה הרבה יותר", אומר לנו קלינגר. "מפתחי אלקטור השתמשו בגיטהאב (Github) – משאב מעולה של קוד פתוח, שאנחנו מאוד אוהבים. הבעיה החמורה היא שקוד המקור של האפליקציה פתוח שם לכולם, והמפתחים השאירו שם גם את הסיסמאות שלהם". קלינגר מציין שהם מכחישים את הטענה הזו ולטענתם מדובר בקוד ישן ששימש למבחן קבלה והוא עתיק. "אבל זה לא משנה מה הם אומרים כי היו שם סיסמאות חיות", מסכם קלינגר. 

כאילו שלא שמתם מצלמת אבטחה בחנות תכשיטים

"כמעט כל מי שרוצה לקבל גישה למערכת בלי הגבלה יכול היה לקבל גישה לספר הבוחרים. אין תיעוד למי שנכנס למאגר. יכול להיות שממשלה כלשהי, האיראנית לדוגמא, הורידה את כל המאגר. אין תיעוד – אז אנחנו לא יכולים לדעת", מספר קלינגר. "בהקבלה לעולם הפיזי – זה כמו לא להתקין מצלמות אבטחה בחנות התכשיטים שלך".

פנקסנות היא הבעיה האמיתית

"מעבר לפרצות האבטחה הבעיה היא שמפלגת השלטון מנהלת פנקסנות מי תומך בה ומי לא. היא משתמשת במידע הזה כדי להמריץ או לדכא הצבעה בצורה קריטית. באמצעות האפליקציה הם אוספים עליך מידע – לדוגמא הם יודעים שאתה מצביע למפלגת הגמלאים אבל דודה שלך מצביעה לליכוד. כך הם יכולים לבקש מדודה שלך להפעיל עליך לחץ ישירות ולבקש ממנה לצלצל אליך".

הסכנה הגדולה: דיכוי בוחרים ואפילו הונאה ביום הבחירות

"העניין היותר מסוכן הוא אם אתה מצביע לרשימה המשותפת ואני יודע שאין דרך להעביר אותך לליכוד. אני יכול לשלוח לך הודעה ביום הבחירות ולכתוב שבגלל הגשם או הקורונה הקלפי שלך נסגרה ועליך להגיע להצביע בהרצליה. גם אם תטרח להגיע להצביע ביעד המרוחק – לא יקבלו אותך. כיום אין דרך לשייך הודעות SMS בחזרה לאחת המפלגות. בליכוד יוכלו להגיד: "לא שלחנו". 

"זה עוד קל", אומר קלינגר ומוסיף: "אפשר לזהות ציבור מצביעי ש"ס ולהתקשר אליהם עם הקלטה מזויפת של אריה דרעי שאומרת משהו בסגנון: "יש לנו מספיק קולות, הרב עובדיה עזר לנו, עכשיו צריך לחזק את הליכוד".

לא רוצים להעסיק מצביעי ליכוד? המערכת תעזור לכם

"יותר מזה, תדמיין שבעוד שנתיים או שלוש המעסיק שלך יוכל לקבל עותק מהמאגר – אם הוא דלף – ולבדוק אם אתה תומך ליכוד או לא. הוא יפתח את המאגר ויבדוק מה כתבו עליך לפני שנתיים ואולי העובדה שאתה תומך או מתנגד לליכוד תגרום לו לשקול אם להעסיק אותך כלומר, המאגר הזה יכול לשמש להרבה דברים".

למה לא עוצרים את זה? 

"אלון בכר עזב את תפקידו כיו"ר הרשות להגנת הפרטיות לפני כמעט שנתיים, מאז היא מתנהלת עם יו"ר זמני שהיא גם יו"ר הרשות לאיסור הלבנת הון" (ד"ר שלומית וגמן, ע.ב), מסביר קלינגר. "הרשות הזו כפופה לשר המשפטים וצריכים למנות ועדת איתור שתבחר את ראש הרשות החדש. איזה טמבל יהיה מספיק אמיץ לעשות דברים שיכעיסו פוליטיקאי שעשוי להחליט אם לקדמו? אז הרשות הזו לא מתפקדת כי אין לה ראש. גם שהיא מתפקדת יש עליה מכבש לחצים פוליטי. שר המשפטים יבחר את מי יקדמו לראש הרשות. בנוסף, התקציב של הרשות לא מובטח. מי האדם שיסכים לטפל בזה?"

בסוף הראיון ביקשנו מקלינגר מספר עצות שכולנו נוכל ליישם. הנה 3 טיפים פשוטים:

  • לא לענות לסקרים טלפוניים, גם בהודעות. הפעולות הללו נועדו לאסוף עליכם מידע.
  • להיזהר מתעמולה. אם הייתם יכולים לכבות את הגלישה שלכם ברשת מהיום עד לבחירות זה היה אידיאלי. הרבה שקרים מופצים כדי להשפיע על הצבעתכם. "מתישהו אנחנו נתקן את החוק ולא נאפשר להם לעשות את זה", אומר קלינגר.
  • בדקו את העובדות ומי מציג אותן. יש המון בוטים וכדאי לא להסתמך על מידע שמגיע מקורות לא מוכרים וללא הוכחות.

זכותנו לקבל את המידע שהמפלגות מחזיקות עלינו

המפלגות מחזיקות מאגרי מידע הכוללים נתונים רגישים על כולנו – והן משתמשות בו כדי להשפיע על הדעות שלנו. איזה מידע בדיוק? על-פי חוק, זכותנו המלאה לקבל את המידע השמור עלינו. אנחנו כבר עשינו את זה – עכשיו תורך

רוצה את מיטב הכתבות והתחקירים של שקוף ישירות לתיבה? פה נרשמים לניוזלטר.

| יעל פינקלשטיין |

האם בתקופת הבחירות הארוכה שעברנו השנה קיבלת הודעת טקסט שקוראת להצביע למפלגה מסוימת? גלשת באינטרנט וקפצה על המסך תעמולת בחירות? הטלפון צלצל ובצד השני היתה שיחה מוקלטת ממועמד או מועמדת שתמכת בהם?

זה לא במקרה: למפלגות יש המון מידע עלינו, והן משתמשות בו.

החלטנו לבדוק באיזה מידע בדיוק מדובר (וגם אתם יכולים! פרטים בהמשך הכתבה). לפי חוק הגנת הפרטיות, לכולנו הזכות לעיין בכל המידע האישי עלינו שקיים בידי המפלגות. בסעיף 13 לחוק, בנושא "זכות עיון במידע", כתוב כך: "כל אדם זכאי לעיין בעצמו, או על ידי בא-כוחו שהרשהו בכתב או על ידי אפוטרופסו, במידע שעליו המוחזק במאגר מידע".

מצוידת בחוק פניתי (יעל) לכל המפלגות בבקשה פשוטה: תנו לי את המידע ששייך לי.

אבל למפלגות המשימה נשמעה כנראה פחות קלה – חוץ מהעבודה-גשר, יהדות התורה והליכוד (שמסרו גם הן מידע חלקי), כל יתר המפלגות הפסיקו לענות אחרי שפניתי מספר פעמים – אף שחלקן אמרו בהתחלה שיעבירו את המידע.

"חוק הגנת הפרטיות היום, לא מאפשר יותר מדי לאנשים לשלוט על המידע שקיים עליהם. הזכויות היחידות שלנו הן עיון במידע, ולבקש תיקון שלו", אומרת רחל ארידור הרשקוביץ, חוקרת במכון הישראלי לדמוקרטיה. "זאת בעיה שלא קשורה רק למאגרי המידע של המפלגות: באופן חוצה גבולות בכל מאגרי המידע אין בישראל זכות להתנגד לעיבוד מידע אם הוא נעשה באמצעים אוטומטיים, ואין לנו זכות לבקש למחוק מידע – כלומר הזכות להישכח. אני לא בטוחה שהציבור יודע שלמפלגות מועבר על פי חוק הבחירות אותו מאגר מידע ואנחנו גם לא יודעים אילו קטגוריות נוספות הם יכולים לקחת".

איזה מידע יש למפלגות עליי?

לקראת יום הבחירות קיבלו כל המפלגות את פנקס הבוחרים, בו יש פרטים על כל בעלות ובעלי זכות ההצבעה: שם, שם אחד ההורים, כתובת, תעודת זהות ושנת לידה. בנוסף למאגר זה, למפלגות מאגרים משלהן שלעיתים מכילים מידע רגיש יותר – כמו דעות והעדפות פוליטיות.

אז איזה מידע שמור אודותיי אצל המפלגות? כאמור, רק שלוש מהן הגיבו לפנייה: בליכוד אמרו שהם אינם מחזיקים כל מידע עליי ובעבודה-גשר מסרו מידע בסיסי שכלל שם, תעודת זהות, כתובת וגיל. ביהדות התורה אמרו כי הם מחקו, על פי חוק, את פנקס הבוחרים לאחר הבחירות, וכי במאגר הנוסף של המפלגה אין כל מידע עליי.

האם זה באמת כל המידע שיש בידי המפלגות? כלל לא בטוח. לפי רשם מאגרי המידע, למפלגת העבודה לבדה ארבעה מאגרי מידע שונים.

מה עושים במפלגות עם המידע ששמור על אזרחי ישראל? ארידור הרשקוביץ הסבירה לנו על כך: "המפלגות אמורות לעשות במידע שהועבר אליהן שימוש – וזאת הגדרה מאוד רחבה בחוק הבחירות – אך ורק למטרות שמוגדרות כהתמודדות בבחירות וקשר עם ציבור הבוחרים. הן גם מחויבות בחוק הגנת הפרטיות – שזה אומר שעליהן לרשום את מאגר המידע ולאבטח אותו לפי התקנות שבחוק. אנחנו לא יודעים מה המידע הנוסף שהן מוסיפות על הנתונים האלה, ואין להן כרגע חובה בחוק להגיד מה הקטגוריות הנוספות שהן מוסיפות למאגר המידע, חוץ מזה שזה מידע שאמור לעזור להן להתמודד בבחירות".

לפני הבחירות האחרונות פורסם כי מפלגת הליכוד אספה מידע על עמדות פוליטיות של אזרחים ואזרחיות דרך הודעות בפייסבוק. המפלגה הקימה מאגר מידע שסיווג כמיליון אזרחים לפי תמיכה או חוסר תמיכה בליכוד. המאגר לא היה נעול והמידע הרגיש שבו היה פתוח לכל, לפחות לכמה ימים – עד שאובטח.

"העניין הוא לא רק רמת האבטחה הלקויה אלא העובדה שיש בורות דיגיטלית בקרב מי שמפעילים את מאגרי המידע האלה וחוסר הבנה של הסכנות שיכולות לנבוע מזה שהוא הופך לזמין. חוסר ההבנה משותף לא רק לקובעי המדיניות ולמפלגות אלא גם לנו, כל האנשים שמתקינים אפליקציות ללא הכרה מבלי להבין מה הם מתקינים, או מזלזלים בצורך בזכות לפרטיות מתוך אמירה שאין להם מה להסתיר. בעוד אי אלו חודשים או שנים הם יקלעו למצב שבו יהיה בידי גופים שונים במשק כמויות מידע עצומות עליהם, שיאפשרו לחזות החלטות שלהם וגם להשפיע ולעשות מניפולציות על ההחלטות שלהם. זו בעצם הסכנה הגדולה שמרחפת מעל הזלזול הזה בזכות לפרטיות".

אז מה עושים?

למרות שכתוב בחוק שזכותי המלאה לקבל את המידע, רוב המפלגות בחרו להתעלם. וכאן אתן נכנסות לתמונה:

מערכת היחסים שלנו כיום עם המפלגות היא חד צדדית – להן יש מידע עלינו, והן יכולות להשתמש בו כדי להשפיע על הדעות שלנו – אבל אנחנו לא יודעים מה הוא כולל. בואו נשנה את כללי המשחק! פנו למפלגות ובקשו את המידע. 

תוכלו להשתמש למשל בנוסח הבא:

שלום,

אבקש לקבל היום את כל המידע הנוגע אליי הנמצא בידי מפלגת <XXX>, בכל אחד ממאגרי המידע שברשותה, מכוח חוק הגנת הפרטיות (סעיף 13 א).

תודה רבה,

<השם שלך>

שלחו מייל לליכוד, לעבודה-גשר, למחנה הדמוקרטי, לישראל ביתנו, לרשימה המשותפת, לכחול לבן, לש"ס

אם תקבלו מידע מעניין בחזרה, נשמח אם תספרו לנו – ואולי ככה נצליח למפות את אופי המידע שבידי המפלגות.

ועד שנקבל את המידע – איך נוכל למנוע מצבים בהם כמויות אדירות של נתונים נאספים עלינו, ועלולים – כמו במאגר של הליכוד – להיות חשופים לכל? לפי ארידור הרשקוביץ, צריך לשנות את החוק – ולהתחיל לדרוש יותר מהחברות כאזרחים.

"המדינה חייבת לחוקק חוק הגנת פרטיות חדש שתואם את רמת ההגנה הבינלאומית, האירופאית ואת הטכנולוגיה. במסגרת אותו חוק, צריך לא רק לחזק את הזכויות שלי כאדם שעליו לוקחים מידע, אלא גם לחזק את סמכויות האכיפה והפיקוח במסגרת הרשות הקיימת שכרגע חסרות לה הסמכויות האלה, ולעשות פעולות של העלאת מודעות ציבורית. אנחנו, הציבור, צריכים להבין ולדרוש את הזכות לפרטיות שיש לנו ושמעוגנת בחוק יסוד. אנחנו צריכים לחנך את הילדים שלנו לכך ולהבין בעצמנו את הצורך והיתרונות שבקיומה ואיך אנחנו צריכים לדרוש מחברות הטכנולוגיה ומהמדינה להגן עלינו".