סגור
באנר דסקטופ כלכליסט טק

פרצה באפליקציית סטרבה חשפה פרטי אנשי ביטחון בתפקידים רגישים

לפי תחקיר של ארגון פייק ריפורטר, הפרצה באפליקציה וברשת החברתית לספורטאים אפשרה לחשוף פרטים של עשרות אנשי ביטחון וחיילים שמשרתים במתקנים סודיים, בהם של חילות המודיעין והאוויר; היא תוצאה של הגדרות פרטיות מבלבלות בשילוב שימוש רשלני

פרצה באפליקציה והרשת החברתית לספורטאים סטרבה Strava אפשרה לגורם עלום לחשוף פרטים רגישים של עשרות אנשי ביטחון וחיילים שמשרתים או עובדים בבסיסים ובמתקנים סודיים בישראל, בהם בסיסי מודיעין ושל חיל האוויר – כך חושף תחקיר של ארגון פייק ריפורטר שמתפרסם הבוקר.
המידע שנאסף כולל זהות מלאה של אנשי ביטחון וחבריהם ליחידה, יעדים בהם ביקרו בחו"ל, מקום מגורים וזהות בני משפחתם. לדברי הארגון, הפרצה היא תוצאה של הגדרות פרטיות מבלבלות בשילוב שימוש רשלני של אנשי הביטחון באפליקציה. הגופים הרלבנטיים וסטרבה עודכנו על הפרצה, והחברה הקימה צוות מיוחד לטיפול בה.


1 צפייה בגלריה
 אפליקציית  STRAVA
 אפליקציית  STRAVA
אפליקציית STRAVA

"משתמשים לא מודעים למידע שהם חושפים ברשת", אמר ל"כלכליסט" מנכ"ל פייק ריפורטר, אחיה שץ. "המציאות היא שבהינף כפתור אפליקציה 'חברתית' יכולה להפוך לנשק. כולנו משלמים על כך מחיר, אך עבור גופים ואנשי ביטחון זה עלול להיות עניין של סכנת חיים ועניין של ביטחון לאומי. אנו מוכיחים ששיתוף הציבור והעצמת הכוח שלו אל מול חברות הטכנולוגיה זה פתרון שהוא גם צודק וגם יעיל".
סטרבה, שמונה כ־100 מיליון משתמשים, נחשבת לאחת פלטפורמות הספורט החברתיות הפופולריות בעולם. היא מאפשרת למשתמשים לתעד את הפעילות הגופנית שלהם בשילוב מדדים כמו שריפת קלוריות, דופק לב ונתונים מיקום. את הנתונים ניתן לשתף עם אחרים. ב־2017 השיקה החברה תכונה שמכונה "מפת חום" (Heat Map), שמציגה מסלולי ריצה או רכיבה פופולריים. שנה לאחר מכן נחשף שהתכונה מאפשרת לחשוף באקראי מיקומים של בסיסי צה"ל, מתקנים סודיים ואפילו מסלולי פטרול של כוחות צה"ל בגבול הצפון. הפרצה החדשה חושפת את זהותם של המשרתים באותם מתקנים. במרכז פרצה זו עומדת תכונה שמכונה סגמנט (Segment), שהיא במהותה מעין תחרות וירטואלית בין משתשמשים על סיום מסלולים זהים בזמן מהיר יותר. הפרצה לא דורשת ידע מעמיק בתכנות על מנת להפעילה. ראשית, יוצר משתמש זדוני באופן ידני קובץ שמכיל תיעוד גיאוגרפי של פעילות ספורטיבית שנוצר באופן אוטומטי עם השלמת פעילות כזו, אך במקרה זה נוצר ידנית ומייצג למעשה פעילות מזויפת. אחרי שהעלה את הקובץ לסטרבה, האפליקציה מזהה למעשה כאילו ביצע שם התוקף פעילות ספורטיבית. כעת, יכול התוקף להגדיר סגמנט על בסיס נתוני הקובץ המזויף – ואז להיחשף למידע ופרטים אודות משתמשים שביצעו פעילות באותו מקום. על מנת לעשות זאת בעבור מתקן רגיש, למשל הכור הגרעיני בדימונה, כל שצריך התוקף לדעת הוא את מיקומו של מתקן זה. ומידע זה, זמין בקלות בסטרבה עצמה הודות ליכולת מפות החום של האפליקציה.
לדברי פייק ריפורטר, הפרצה נוצלה בצורה שיטתית על ידי גורם אחד לפחות שנחשף ל־100 משתמשים שהתאמנו בשישה מתקנים ביטחוניים רגישים. המשתמש החשוד, שפועל תחת הכינוי Ez Shl, הינו נטול עוקבים או נעקבים, הוא ביצע בסטרבה 9 ריצות ורכיבות, כולן בישראל. נתוני הפעילות שלו חשודים גם הם: כולם באזורים רגישים ביטחונית, נתיבי ה־GPS בהם ישרים בצורה שלא אופיינית לריצה טבעית, ובמסלולים אין זמנים או זמנים לא ריאליים.
כך, למשל, הוא השלים ריצה 1,170 מטר בשטח של מתקן המוסד בגלילות באפס שניות. בעזרת סגמנט זה, הוא הצליח לחשוף 5 משתמשים שיצאו לריצה בשטח המתקן, וניתן היה לזהות את שמם המלא ומקום מגוריהם. באופן דומה נחשפו זהויות משתמשים בבסיס של חיל האוויר בפלמחים, בבסיס מודיעין במושב אורה ובמקומות נוספים. התחקיר מתמקד בישראל, אך הפרצה יכולה לשמש גורמים עוינים מכל מדינה שמבקשים לאסוף מידע רגיש על אנשי כוחות הביטחון של מדינה אחרת.