בלעדי לכלכליסט
רשות האוכלוסין חשפה בטעות מאות כתובות מייל
המעבר לדרכונים ביומטריים יצר עומס קיצוני בלשכות האוכלוסין. הפתרון של הרשות: קביעת תורים מראש במייל. השבוע עובד באחת הלשכות חשף בטעות מאות כתובות מייל של פונים לעיני כל
טעות אנוש של עובד באחת מהלשכות של רשות האוכלוסין הביאה השבוע לחשיפת פרטים אישיים של מאות אזרחים שביקשו לקבוע תור להנפקת דרכון ביומטרי - כך נודע ל"כלכליסט".
- התורים להנפקת דרכון: "משרד הפנים מנסה להגיד שהכל גן עדן"
- טיפול בדרכון ביומטרי אורך פי 4 מטיפול בדרכון רגיל
- עתירה לבג"ץ: יש למחוק את המאגר הביומטרי באופן מיידי
בימים אלו סובלות לשכות האוכלוסין מעומס קיצוני בשל המעבר לדרכונים ביומטריים, שהליך הנפקתם ארוך יחסית. כמו כן, בתקופה זו נרשם ביקוש גבוה במיוחד לחידוש ולהנפקת דרכונים, שחריג גם ביחס לעומסים הגבוהים המקובלים בתקופת הקיץ.
על מנת להקל את העומס, הרשות החלה להפעיל מערכת לזימון תורים. כיום הרשות כבר עברה למערכת ממוחשבת ייעודית, אך בשבועות הראשונים זימון התורים התבצע באמצעות שליחת מייל ללשכה הרלבנטית.
שיטת המיילים יצרה תסכול בקרב אזרחים רבים. פניות רבות מעולם לא נענו בגלל עומס הפניות וכן מכיוון שהמענה התבצע בצורה ידנית. כעת, נראה שהטיפול הידני בפניות גם הביא לטעות מביכה שחשפה פרטים אישיים של מאות מהפונים.
מאות אזרחים שפנו לכתובת של לשכת האוכלוסין בשכונת הר חומה בירושלים קיבלו ביום שלישי אימייל מהלשכה שמפנה אותם לזימון תור באמצעות המערכת הממוחשבת החדשה. כתובות המייל הוזנו בשדה הראשי ולא בשדה ה־BCC, ששימוש בו מסתיר את הכתובות. כך, כל מי שקיבל את המייל נחשף לכתובות של כל שאר המדוורים.
החשש המיידי הוא שכתובות המייל יגיעו לידי גורמים שינצלו אותן כדי לשלוח הודעות ספאם. אבל הסכנה האמיתית חמורה בהרבה: ניתן להשתמש בהן כדי להוציא לפועל מתקפת פישינג ממוקדת ומתוחכמת. פושע סייבר שישיג את הכתובות הללו בידיעה שבעליהן פנו ללשכת האוכלוסין יכול להתחזות לנציג הלשכה כדי לדלות פרטים אישיים ואף מספרי כרטיסי אשראי.
כך, למשל, ניתן לשלוח הצעה מזויפת להעביר פרטי כרטיס אשראי כדי לשלם מראש על הנפקת דרכון כחלק מזירוז התהליך. האזרח, שפנה מיוזמתו לרשות, יחשוד פחות בפנייה שכזו.
"כאשר המדינה בונה מערכת שמרכזת את המידע האישי, אנחנו מגיעים למצב שבו מידע על אזרחי ישראל דולף, והפרטים האישיים שלהם מופקרים לגורמים לא מוסמכים שעלולים להיות פליליים או ביטחוניים, אפילו אם לא התרחש פשע ולא היתה כוונה רעה", אמר ל"כלכליסט" בועז ארד, העותר מספר 1 בעתירת התנועה לזכויות דיגיטליות נגד המאגר הביומטרי. "המאגר הביומטרי יוצר את ריכוז המידע הפרטי הגדול ביותר על אזרחי ישראל, ללא צורך, תוך שהוא יוצר סיכונים חסרי תקדים לפרטיות ולמידע הרגיש ביותר של האזרחים. תקלות קורות. חלקן נחשפות וסביר שיש רבות שקרו ולא נחשפו. אבל כאשר תקלה כזו נחשפת, הדבר ממחיש את החשש מפני אגירה שלא לצורך ומצדיק את החששות מפני המאגר".
מרשות האוכלוסין נמסר בתגובה: "מבדיקת המקרה עולה כי מדובר בטעות אנוש שנבעה מהרצון לתת מענה מהיר ויעיל. אנו מתנצלים על התקלה. היא תיבדק לעומק ונחדד את הנהלים לכל העוסקים בנושא".