חוקר אבטחת מידע: ווייז חושפת לגורמים עוינים מידע קריטי
חוקר אבטחת מידע: ווייז חושפת לגורמים עוינים מידע קריטי
אפליקציית הניווט עלולה להיות מקור נוסף למידע שמגיע לארגוני טרור ועוזר להם לטווח מטרות בישראל כשדרכה נחשפים מיקומי בסיסים ואף הזזת כוחות בזמן אמת. החוקר אמיתי דן: "זו מערכת איסוף המודיעין על ידי המונים הכי קטלנית בישראל
באוקטובר האחרון, ארבעה חיילי צה"ל נהרגו מפגיעת כטב"ם בבסיס צבאי ליד בנימינה. היה זה אירוע טרגי, אך לא יחיד מסוגו שבו הצליחו כוחות אויב לפגוע בדיוק מדאיג בבסיס צבאי או במטרה ביטחונית אחרת. הצלחות אלו העלו תהיות לגבי מקור המודיעין שסיפק לארגוני טרור כמו חזבאללה מידע מדויק על מטרות צבאיות רגישות, החל מהערכות הגיוניות כמו מידע שחושפים חיילים ברשתות חברתיות ועד תיאוריות קונספירציה הזויות על העברת מידע פנימי.
ויש מקור אפשרי נוסף: אפליקציית הניווט הפופולרית ווייז, שמנגישה בקלות נקודות ציון מדויקות של בסיסים צבאיים, מתקנים אסטרטגיים ואפילו חושפת צירי תנועה של כוחות ביטחון, כאשר המידע בנושא מתעדכן על בסיס שוטף, וחלקו גם מגיע לאפליקציית האחות גוגל מפות (אחרי שב־2013 השלימה גוגל את רכישת ווייז בעסקה בשווי 1.3 מיליארד דולר). אין דרך לדעת אם גופי טרור עושים שימוש במידע זה, ואולם גם אי אפשר לומר בוודאות שמידע זה לא מגיע לידיהם. "מדובר במערכת איסוף המודיעין על ידי המונים הכי קטלנית בישראל", אמר לכלכליסט אמיתי דן, חוקר אבטחת מידע ומודיעין פיזי, שחוקר את הנושא מתחילת המלחמה.
ווייז שונה מאפליקציות מפות אחרות, מכיוון שחלק גדול ממידע המיפוי שלה מגיע מהמשתמשים עצמם, וגם נערך ומנוהל על ידם. אפליקציות אחרות, דוגמת אפל מפות או גוגל מפות, מסתמכות בראש ובראשונה על איסוף מידע עצמאי (למשל, באמצעות רכבי צילום הרחובות שלהם) או רכישת מפות משחקנים אחרים, וגם כאשר הן ממנפות מידע משתמשים, העיבוד והעריכה שלו מבוצעים על ידי עובדי החברה עצמה.
ווייז, מנגד, החלה את דרכה ב־2006 כאפליקציית מיפוי קהילתית בשם Freemap, שבה כל המידע מבוסס על נתוני מיקום שהתקבלו ממשתמשים, וברובו הגדול נערך, מתוחזק ומעודכן על ידי קהילת עורכי המפות של האפליקציה. קהילה זו, במיוחד בישראל, השתמרה גם עם המיתוג מחדש כווייז ב־2009 וגם אחרי המכירה לגוגל, והיא עדיין הכוח המרכזי בעדכון ושימור המפות הישראליות של האפליקציה.
שילוב זה — מידע מיקום מנסיעות משתמשים וקהילת עורכים מעורבת ועצמאית — הוא שעומד ביסוד השילוב של מידע ביטחוני רגיש ועדכני שנמצא בהיקף רחב בווייז. כך זה עובד: כאשר משתמש מבצע נסיעה בווייז, נתוני הנסיעה הלא מזהים (נקודות ציון של המוצא, המסלול והיעד) מתעדכנים בפלטפורמת עריכת המפות של ווייז. אם הנסיעה בוצעה בדרך לא ממופה (למשל, ציר פטרול של כוחות צה"ל), או הסתיימה ביעד שלא מוזן במערכת, יכולים עורכי המפות לעדכן את המפה ולסמן כבישים חדשים או מוצבים. לעתים הם עושים זאת ביוזמתם, ולעתים כמענה למשתמשים שמבקשים לעדכן את הפרטים במערכת. "העורכים הם פריקים של מפות, הם חיים את זה, מתים על זה", אמר דן.
בדרך זאת, התעדכנו לאורך השנים בווייז מיקומי בסיסים, מוצבים צבאיים, מתקנים אסטרטגיים אחרים וצירי נסיעה של כוחות צה"ל. "זה לא מידע חדש, חלקו זמין כבר שנים. אבל הוא מתחדש כל זמן, כל הזמן פורצים שם דרכים חדשות", אמר דן. מידע זה כולל גם תמונות בסיסים שמצלמים משתמשים, שכן ווייז מבקשת ממשתמשים להזין תמונת יעד במקרה שזו לא קיימת במאגר. זאת, אף שקיים איסור צילום בבסיסי צה"ל.
מכיוון שגוגל עושה שימוש במידע המיפוי של ווייז על מנת לעדכן ולהעשיר את פלטפורמת גוגל מפות, חלק גדול מהמידע הרגיש שאוספת ווייז מצא את דרכו גם לפלטפורמה הפופולרית ביותר. במקרים רבים, הבסיסים עצמם מוסתרים בעת שיטוט חופשי במפה, אך מופיעים כיעד אם נעשה חיפוש של שמם (כשבאורח אירוני, סימון נקודת היעד על המפה מצביע על כך שאין במיקום הבסיס דבר). "מדובר במידע רגיש, שלא זמין במפות הרשמיות של ישראל או בפלטפורמות מפות שלא נמצאות בבעלות גוגל", אמר דן.
אבל ווייז לא מסתפקת רק בהצגת מיקומי ותמונות בסיסים על מפה. באמצעות יישום הווב של השירות ניתן לשלוף, בכמה צעדים פשוטים, גם את נקודות הציון המדויקות של בסיסים אלו. מידע זה ניתן להזין למערכות נשק מונחות, כמו טילים, על מנת לספק להם יעד תקיפה מדויק.
ולסיום, אין אפילו הכרח שעורכי המפה בווייז ינגישו לאפליקציה הציבורית את המידע על מיקומי בסיסים ותנועת צירים כדי שזה יגיע לידי גורמים עוינים. כל המידע הגולמי (והלא מזוהה) של תנועת משתמשים זמין בפלטפורמת עריכת המפות של ווייז, שההרשמה והשימוש בה חופשיים לכל המשתמשים. "האפליקציה כל הזמן שותה נתונים על התנועה, וזה חשוף בפלטפורמות העריכה של ווייז", אמר דן. "בזמן אמת, לא בזמן אמת, היסטורי. ככה נחשפים ומתעדכנים מקומות". כלומר, בעיקרון יכול כל גורם להיכנס לפלטפורמת עריכת המפות של ווייז, ועם ידע בסיסי על מיקומי בסיסים ותנועת כוחות, לראות בזמן אמת תנועה של כוחות פטרול לאורך צירים.
ווייז, אומר דן, יודעת על סיכונים אלו כבר שנים, שכן הוא עצמו התריע על כך בפני החברה פעמים רבות. עם זאת, לדבריו ווייז לא נקטה בצעדים על מנת להסיר מידע רגיש זה, פרט לפעם אחת שבה הסירה בצורה רחבה תמונות של עשרות בסיסים שצולמו. ואולם, למרבה האירוניה דווקא מהלך זה יצר סיכון חשיפה גבוהה יותר: התמונות הוסרו כולן בפרק זמן קצר על ידי עורך מפות אחד. מכיוון שפלטפורמת עריכת המפות מתעדת ושומרת את הפעילות של כל העורכים, נוצרה למעשה רשימה מרוכזת של בסיסים רגישים שתמונותיהם הוסרו, אך שמותיהם ומיקומיהם נשמרו.
תגובת ווייז לא התקבלה עד מועד פרסום הכתבה.
מדובר צה"ל נמסר כי "צה״ל מודע לסכנה הנשקפת הנובעת מדליפת מידע לגורמים עוינים על מיקומם של כוחות צה״ל ופועל באופן ייזום לשמור על ביטחונם. הגופים הרלבנטיים עוקבים באופן צמוד אחר האיומים המוזכרים ונוקטים באמצעי זהירות ופעולה רבים על מנת למנוע חדירה למידע על מיקומם של כוחות צה״ל".
