$
חדשות טכנולוגיה

פרצת האבטחה באפליקציה של הליכוד: הפרטים האישיים של כל הבוחרים נחשפו

שבוע לאחר חשיפת כלכליסט על פעילות אפליקציית הבחירות אלקטור, המשרתת בין היתר את הליכוד, התגלה בה כשל אבטחה חמור שחשף את ספר הבוחרים לעיני כל. הליכוד: "האבטחה תוגברה"

עומר כביר 20:0009.02.20

"אנחנו צריכים לנצח את הבחירות", הכריז ראש הממשלה, בנימין נתניהו, בכנס בחירות שנערך בשבוע שעבר ברמלה. "חסרים לנו רק שלושה מנדטים. ומה צריכים לעשות כדי להביא את המנדטים האלו? אלקטור". מאחוריו הופיעה שקופית ענקית: לוגו אפלקציית המובייל אלקטור בצד אחד, ובצד השני הכיתוב "שולחים סמס נרשמים ומתגייסים!" בתוספת מספר טלפון. "להרים טלפונים, לצלם את המספר. אלקטור!", פקד ראש הממשלה. "תביאו את זה. עם זה מנצחים!"

 

מה שראש הממשלה לא ידע באותם רגעים, ומה שנחשף רק אתמול, זה שנתניהו למעשה שולח את פעילי הליכוד לפרצת אבטחה חמורה, מהחמורות שנחשפו בשנים האחרונות בישראל. כי כשל אבטחה חמור באפליקציה ובמערכת של אלקטור חשף את כל נתוני הבוחרים שמנהל הליכוד לקראת הבחירות הקרובות: מאגר מידע ענקי שבבסיסו יושב פנקס הבוחרים ושמכיל מידע אישי עדכני — תעודת זהות, שם מלא, כתובת וטלפון — של קרוב ל־6.5 מיליון ישראלים בעלי זכות בחירה, לצד מידע מפורט ורגיש של עשרות אלפים, כמו סטטוס התמיכה שלהם בליכוד, שנאסף בחודשים האחרונים על ידי פעילי הליכוד בשטח. 

 

 

נתניהו בכנס של הליכוד ברמלה. "מה צריך לעשות כדי להביא את המנדטים החסרים? להכנס לאלקטור!" נתניהו בכנס של הליכוד ברמלה. "מה צריך לעשות כדי להביא את המנדטים החסרים? להכנס לאלקטור!" צילום: Youtube

 

"ישראל הצטרפה למועדון המדינות המפוקפקות"

 

"כמו אקוודור, הודו ומדינות עולם שלישי נוספות, ישראל הצטרפה אל מועדון המדינות המפוקפקות שמאגר האזרחים שלהם דלף לרשת", אמר ל"כלכליסט" רן בר זיק, מתכנת בכיר בוורייזון מדיה, שחשף את הפרצה ודיווח עליה למערך הסייבר.

 

"כל ארגון ביון, מדינה זרה או אפילו חברה מסחרית יכולה לקבל את המידע על כל אדם ואדם בישראל. ראיתי פרצות רבות בימי חיי, כזו פרצה מגוחכת שעשתה כל כך הרבה נזק, עוד לא ראיתי".

 

ההאקר והאקטיביסט נעם רותם, שסייע לבר זיק בחשיפה הפרצה, הוסיף: "לא היתה פה שאלה של האם המידע ידלוף, אלא רק שאלה של מתי. פעילים רבים בתחום הפרטיות התריעו בעבר על הנושא, אך למרות אלף דגלי אזהרה — לא נקבעו כללים ולא נאכפו ההנחיות. את המחיר של המחדל הזה, כרגיל, ישלמו האזרחים". 

 

הפעילות של אפליקציות הבחירות של המפלגות, בהן אלקטור, נחשפה בשבוע שעבר ב"כלכליסט". אפליקציות אלו מאפשרות לפעילי שטח לזהות מכרים וקרובים כתומכי המפלגה שלהם, ולצרף אותם באמצעות האפליקציה למאגר המידע של המפלגה. המאגר עצמו מוזן על ידי מידע ממקורות אחרים — פנקס הבוחרים, מענה לסקרי SMS — על מנת ליצור רשימות מפולחות של תומכים ומתנגדים.

 

ביום הבחירות עצמו, משקיפים בקלפיות משתמשים באפליקציות על מנת לתעד אילו בוחרים כבר הגיעו להצביע. המידע הזה מאפשר למפלגה לבצע שלל פעולות, כמו קמפיין ממוקד אישית להמרצת תומכים לקלפיות, פניות שנועדו לשכנע מתנגדים להישאר בבית, ואפילו פותח פתח לביצוע זיופים.

 

כבר עם פרסום הידיעה התריע "כלכליסט" כי אחת הסכנות האפשריות של פעילות האפליקציות האלו היא דליפה של מאגרי המידע העשירים שהן מרכזות, והסכנות שיכולות להיגרם במקרה שמידע זה יגיע לידי גורמים עוינים או מעצמות זרות. אולם עתה מתברר כי כבר אז המידע שהזין הליכוד לאלקטור היה חשוף לעיני כל.

 

מידע על הרצפה, כולל ההרשאות הרגישות ביותר

 

לדברי בר זיק, שקיבל את המידע הראשון על הפרצה באמצעות קו הטיפים של הפודקאסט סייבר סייבר, מסביר כי הדרך אל המידע היתה פשוטה להדהים: ראשית, יש לגלוש לאתר של אלקטור ולבקש מהדפדפן להציג את קוד המקור שלו – פעולה שניתן לבצע בקלות באמצעות דפדפן כרום. קוד המקור כלל קישור פנימי לאתר אלקטור, שבו נכתב בין השאר get־admins־users. הזנת קישור זה בדפדפן הציגה את פרטי ההתחברות למערכת של כל המשתמשים עם הרשאת אדמין – השראת הגישה למידע הגבוה ביותר.

 

כאשר התחבר בר זיק למערכת באמצעות שם המשתמש "הליכוד לכנסת" הוא קיבל למעשה גישה מלאה לכל מאגר המידע שהקימה המפלגה וניהלה לקראת הבחירות הקרובות.

 

לב המידע שנחשף הוא ספר הבוחרים העדכני שקיבלה הליכוד, אשר שכלל פרטים מזהים של 6.5 מיליון ישראלים בעלי זכות בחירה. בין פרטי המידע מופיעים מספר תעודת זהות, שם מלא, כתובת מלאה, שם האב, מספר וכתובת הקלפי ומספר מצביע – מידע מזהה למעשה של כל אזרחי ישראל הבוגרים. מידע זה היה מעודכן במיוחד וכולל . בר זיק עצמו סיפר שבעקבות מעבר דירה הוא עדכן את כתובתו במשרד הפנים רק לפני שלושה שבועות. כתובתו העדכנית הופיעה במאגר שנחשף.

 

בנוסף, לחלק מהבוחרים שבמאגר נוספו גם פרטים שליקט הליכוד באמצעים שונים – פעילי שטח, רשתות חברתיות, מענה לסקרי SMS וכו'. אלו כללו טלפונים ליצירת קשר, תאריך לידה, האם מדובר בתומך של המפלגה או לא, שפה, כתובת מייל והאם האזרח מתכוון להצביע.

 

כן נחשפו במאגר פרטים שונים ויכולות של הקמפיין של הליכוד. למשל, המערכת של אלקטור מאפשרת למשתמשים לשלוח דרכה הודעות SMS לאזרחים שמספר הסלולר שלהם שמור במאגר המידע.

 

הליכוד רכש מראש 750 אלף הודעות SMS, ובעת שבר זיק בדק את המערכת שלח כבר 300 אלף מהם. לו רצה, יכול היה בר זיק לשלוח את 450 אלף ההודעות הנותרות.

 

הגישה שקיבל בר זיק גם אפשרה לו לשלוח הודעות פוש לפעילי הליכוד שעובדים עם האפליקציה. גישה מסוג זה ניתן לנצל למעשים מסוכנים רבים; למשל, שליחת הודעה שקוראת לפעילים להתקין גרסה עדכנית של היישום, בתוספת קישור שמוביל להורדת תוכנה זדונית שמאפשרת לגורמים עוינים לפרוץ למכשירים שלהם. הפעילים יקבלו את ההודעה מאפליקציה שהם בוטחים בה, ושראש הממשלה עצמו הורה להם להשתמש בה.

 

גם מידע סטטיסטי מתוך הקמפיין נחשף במערכת: למשל שקף שמציג את מספר התומכים והתומכים הפונטציאלים שהוזנו במערכת. נכון ל-7 בפברואר, לפי שקף זהה, הוזנו במערכת יותר מ-20 אלף תומכים וכ-15 אלף תומכים פוטנציאלים. זאת, לעומת פחות מ-5,000 תומכים ומספר אפסי של תומכים פוטנציאלים ב-29 בינואר, כאשר יום קודם לכן, כנראה יום הפעלת המערכת, עמד מספרם על אפס. כלומר, בתוך פחות משבועיים של פעילות הזינו פעילי הליכוד את פרטיהם של כ-35 אלף אזרחים שמתכוונים להצביע או נוטים להצביע למפלגה. וזה, לפני כנס הפעילים בשבוע שעבר שבו החל נתניהו לתמרץ אותם להוריד את האפליקציה ולהשתמש בה.

 

אלקטור: "ארוע נקודתי". הליכוד: "האבטחה תוגברה"

 

אף שחלק ניכר מהאחריות לפרצה מונח על כתפיה של אלקטור, שכשלי המערכת שלה הם אלו שהביאו לחשיפת המידע, בר זיק אומר שאסור לנקות את הליכוד מאחריות.

 

"הם עובדים עם ספק שהם לא בדקו אותו, הם לא עשו לא שום בדיקה. זו לא פרצה מחוכמת, היא ברמת הגיחוך. כשאתה עובד עם ספק חיצוני, האחריות שלך היא לוודא ב־100% שהוא ראוי לאמון שלך. בעולם התוכנה, אתה לא מעביר פרטי לקוחות למערכות צד שלישי, ואם זה קורה זה רק במערכות שעשית להן הליך אימות. תהליך בחינה מסודרת לא נעשה פה, אחרת הכשלים האלו היו מתגלים".

 

"כשהמדינה נותנת למפלגות גישה למידע הכי רגיש עלינו, ואין שום בקרה על אבטחתו, דליפה של המידע הזה היא רק עניין של זמן", אמרה ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה, שהיתה זו שהתריעה בכלכליסט על הסכנה של דליפת מידע זה. "כשמאגר כזה דולף החוצה, הוא יכול לייצר מנוף השפעה אדיר עבור מדינות שיש להן אינטרסים גיאופוליטיים באזורנו. הגישה למאגרים כאלה על ידי מדינות זרות, כמו למשל רוסיה, עלולה לאפשר התערבות בבחירות הנוכחיות ואלה הבאות".

 

רותם מתח ביקורת על האופן שבו מערך הסייבר טיפל במקרה, וטען שעבודתו מעלה סימני שאלה חמורים. "למרות שהדיווח אודות הדליפה הועבר כבר ביום שישי, ביום ראשון המערכת עדיין באוויר והמידע עדיין חשוף", הוא אמר לכלכליסט. "ממידע שקיבלתי עולה שהם פשוט העבירו את הדיווח לחברה והסתפקו בתשובתה כי 'החור נסגר'. לא היתה בדיקה בסיסית לברר אם אכן נסגר, וחמור מכך - לא נערכה בדיקה בסיסית אילו גורמים לקחו את המידע, ובידי מי הוא מוחזק היום.

 

"זה גם מוזר ומטריד שאחרי כל כך הרבה כשלונות של המפלגות הישראליות בתחום הגנה על מידע פרטי של מליוני אזרחים מערך הסייבר עדיין לא קבע כללי אבטחת מידע בהם יש לעמוד לפני שהן מקבלות את המידע, וכל חברה קיקיונית מקבלת לידיה את כל מסד הנתונים על כל אזרחי ישראל. לכל הפחות אפשר היה לצפות שיעברו בדיקת אבטחה בסיסית מידי גוף מוסמך".

 

מאלקטור נמסר בתגובה: "מדובר באירוע נקודתי שטופל באופן מיידי, ובעקבותיו תוגברה האבטחה באופן משמעותי".

 

מהליכוד נמסר בתגובה: "סוכל ניסיון לחבל במאמצים לגייס את מצביעי הליכוד להצביע בבחירות. בעקבות כך, האבטחה על פעילות האתרים תוגברה. יודגש כי מדובר בספק תוכנה חיצוני שנותן שירותים למפלגות רבות".

x