פרצת אבטחה במאגר ניהול הבחירות של ש"ס חשפה פרטים אישיים של מיליוני אזרחים
פרצת אבטחה במאגר ניהול הבחירות של ש"ס חשפה פרטים אישיים של מיליוני אזרחים
הפרצה הקנתה לתוקפים גישה לכל המידע השמור במערכת. זה כלל נתונים כמו שם משפחה, שם פרטי כתובת ומקום הצבעה, מספרי טלפון, שנת לידה וגם שיוך ל"בית אב". כמו גם הקלטות של אזרחים עם נציגי קמפיין הבחירות של המפלגה. ש"ס: "מיד עם קבלת הפניה, יישמנו מספר שינויים מיידים, כך שכל המידע יישמר באופן מאובטח היטב"
פרצת אבטחה במאגר המידע שמשמש את קמפיין הבחירות של ש"ס, חשפה פרטים אישיים רגישים של מיליוני אזרחים בעלי זכות הצבעה. אלו כוללים את מה שנראה כפנקס הבוחרים המלא שהועבר למפלגה, אבל גם מידע מטויב שלא מופיע בפנקס, כמו קשרים משפחתיים בין אזרחים, פרטי חשבונות בנק של פעילי ש"ס, ואפילו תיעוד הצבעות עבר של אזרחים.
הפרצה נחשפה בעקבות הדלפה אנונימית שהתקבלה בפודקאסט סייברסייבר של עידו קינן ונעם רותם, והממצאים אומתו על ידי ארכיטקט התוכנה רן בר-זיק. היא מבוססת על חולשה מוכרת בת ארבע שנים בכלי לבדיקת שגיאות במערכות מקוונות (debgger), ועל מנת לנצל אותה, כל מה שנחוץ הוא כלי פרצה מתוחכם המכונה "דפדפן".
הדיבגאר אמור להיות מופעל רק בשלב בדיקת המערכת, ולעבור למצב כבוי ברגע שהוא פתוח לשימוש רחב. זאת, מכיוון שאם הדיבאגר מופעל ניתן לחדור למערכת באמצעות הוספת כמה תווים לכתובת האתר שבו נמצאת המערכת, וביצוע עוד כמה פעולות נוספות שלא מצריכות ידע מתוחכם. ככל הנראה, הפרצה אותרה על ידי המדליף האנונימי באמצעות כלי סריקה אוטומטי מקוון שמזהה נקודות תורפה שכאלו.
הפרצה הקנתה לתוקפים גישה לכל המידע השמור במערכת. זה כלל את כל הנתונים שמופיעים בפנקס הבוחרים - שם משפחה, שם פרטי כתובת ומקום הצבעה. אלו דומים מאוד לפרצות במערכת אלקטור של הליכוד. ואולם, המערכת כללה נתונים עמוקים יותר שלא יכלו להגיע מפנקס הבוחרים, ובהם מספרי טלפון, שם אב, שנת לידה, מין וגם שיוך ל"בית אב", כהגדרת המערכת. כלומר, אפשרות לצפות במשתמשים לפי הקשרים החברתיים ביניהם. כן זוהו במאגר בחלק מהמקרים תיעוד של הצבעות והגעה לקלפי במערכות בחירות קודמות. סייברסייבר ובר-זיק ביצעו בדיקה מדגמית של מאות מהנתנים ואימתו את נכונותם. כן הם ביצעו בדיקה אישית מול חלק מהמופיעים במאגר, וקיבלו מהם אישור שמעולם לא התנדבו כחלק מקמפיין הבחירות של ש"ס או מסרו למפלגה נתונים מסוג זה.
מידע נוסף שמופיע במערכת כולל ריכוז פניות אזרחים ותומכים לקבלת סיוע, כולל פרטים אישיים ומידע מלא על פעילי ש"ס באזורים מסוימים ובכלל זה גם פרטי חשבון הבנק שלהם. בכמה מקרים ציונים במערכת מעלים תהיה לגבי מקור המידע. כך, לדוגמה, אחת האפשרויות בתפריט צד היא "כתובת משרד הפנים", ייתכן ציון אפשרי לכך שמדובר בכתובת שהתקבלה ממשרד הפנים או רשומה במשרד הפנים. במקרה אחר, ברשומה שמציגה האם אזרח הצביעה או לא בבחירות קודמות, תחת עמודת "אופן עדכון" מצוין "ליכוד".
עוד נחשפו הקלטות של אזרחים עם נציגי קמפיין הבחירות של המפלגה. בהקלטה אחת, שהועברה ל"כלכליסט", נשמע פעיל בחירות של ש"ס מבקש מאזרח שזוהה כרב (השם המלא שמור במערכת). הרב מספר לנציג שהוא עוסק במתן שיעורי תורה, כאשר בכל שיעור שלו משתתפים מדי שבוע בין 70 ל-80 איש. האזרח גם אימת בפני הנציג את כתובת הבית שלו ואת מספר תעודת הזהות שלו (הנציג כבר החזיק בפרטים אלו). "למה אתם צריכים את זה?" שואל האזרח. הנציג השיב: "כדי שהרב יקבל עדכונים על כנסים שנערכים אנחנו צריכים לעדכן את הפרטים". בשיחה אחרת, פעילה מטעם ש"ס שואלת את האזרח האם הצביעה לש"ס בבחירות הקודמות והאם בכוונתו להצביע למפלגה בבחירות הקרובות. האזרח השיב בחיוב לשתי השאלות.
הפרצה המדוברת נחסמה, אך אין דרך לדעת האם המידע שבמערכת נפל לידיהם של גורמים עוינים קודם לכן. הקלות שבה ניתן לנצל את הפרצה, והעובדה שהיא אותרה כנראה ללא מאמץ גדול במיוחד, מעלים את החשש שהתשובה לכך עלולה להיות חיובית. מידע מסוג זה יכול לשמש פושעי סייבר למגוון מטרות זדוניות, החל מפישינג של אזרחים (בהקשר זה, פרטים מלאים של חשבון בנק יכולים להיות מועילים במיוחד), דרך קמפייני פייק ניוז ממוקדים נגד אזרחים שזוהו כתומכים של המפלגה, ואפילו עד לקמפייני איומים והפחדה נגד תומכי המפלגה או אלו שהצהירו שאינם מתכוונים לתמוך בה.
מש"ס נמסר בתגובה: "מפלגת ש"ס מפעילה תוכנת בחירות מקצועית ואמינה במשך שנים רבות, כמו כל יתר המפלגות בישראל, ומחזיקה מאגר מידע רשום כדין. כל המידע שמוחזק על-ידי ש"ס נאסף על-ידה כדין ומוחזק ונשמר בהתאם להוראות החוק, תוך ליווי של מיטב מומחי האבטחה בישראל. נמסר לנו אודות חשש לחדירה למאגר המידע שלא כדין. מיד עם קבלת הפניה, ובעקבות המידע שנמסר לנו, ערכנו בדיקה מקיפה של מאגר המידע באמצעות מומחי אבטחה, ויישמנו מספר שינויים מיידים, כך שכל המידע יישמר באופן מאובטח היטב. ש"ס ממשיכה בבדיקה מקיפה של מערכות מאגר המידע, ותפעל ככל שיידרש, כנגד כל גורם שיימצא כי פעל בניגוד לדין".