זהירות: פרצת אבטחה באפליקציית הליכוד מאפשרת להציג את פרטי חברי המפלגה לכל דורש באמצעות מספר תעודת זהות בלבד. באפליקציית העבודה - המפלגה משתמשת באנשי הקשר של המשתמשים כדי למפות את קרובי המשתמשים. כך עולה מבדיקת אבטחה שערכה חברת צ'ק פוינט הישראלית שפרסמה היום (רביעי) את תוצאותיה המדאיגות. בליכוד תיקנו את הפרצה מיד לבקשת החברה, ובעבודה התגוננו: "הטענה המוצגת איננה נכונה".
כל העדכונים על הבחירות - הצטרפו לטלגרם של החדשות
חברת האבטחה הישראלית בחנה את האפליקציות של המפלגות השונות שמתמודדות בבחירות. המטרה הייתה לבדוק אילו שירותים הן מציעות לציבור - ובעיקר איזה מידע הן אוספות עלינו וכיצד הן משתמשות בו.
החברה גילתה שרק שלוש מפלגות מציעות אפליקציות לקהל הבוחרים: הליכוד, העבודה ומפלגת ישר, שלא נבדקה משום שהיא עדיין בגרסת דמו. תוצאות הבדיקה מצביעות על פירצות אבטחה חמורות ושימוש במידע אישי ורגיש במיוחד. צ'ק פוינט מסרה את עיקרי הממצאים למפלגות השונות ולגורמים הממשלתיים הרלוונטיים.
אפליקציית הליכוד - עיקרי ממצאי הבדיקה:
• הרישום מתבצע על ידי הזנת מספר תעודת זהות וטלפון נייד. בשלב זה המשתמש מקבל מסרון (הודעת SMS) לטלפון הנייד שלו ובו מצויינת סיסמה באורך 4 ספרות שתשמש אותו לכניסה לאפליקציה מעתה ואילך. מהחברה נמסר כי זו סיסמה קלה ופשוטה שחושפת את המשתמשים לתקיפות שבהן התוקף מזין את כל האפשרויות שקיימות לסיסמה ולכן יש חשיבות למורכבות ואורך הסיסמה. לפיכך, אם ידוע לתוקף מספר הטלפון של חבר ליכוד כלשהו - ניתן בפשטות להתחבר במקומו לאפליקציה ולקבל את כל פרטיו האישיים ולפעול בתוכה בשמו.
• האפליקציה מאפשרת חיבור ישיר למאגר המידע של הליכוד. באמצעות מספר תעודת הזהות ניתן לבדוק אם מדובר בחבר ליכוד. אם כן, המשתמש מקבל גישה מלאה לפרטים של כלל חברי המפלגה ובהם שמות, מספרי טלפונים, כתובות מייל, כתובות מגורים ותפקידיהם בליכוד.
• באופן פשוט למדי ניתן לחלץ את רשימת כלל המתפקדים לליכוד ופרטיהם האישיים - כולל כתובת מגורים, דואר אלקטרוני, מספרי טלפון, מצב משפחתי ונתונים דמוגרפיים נוספים.
• האפליקציה מסתמכת על שני שרתים לצורך אחסנת המידע והפונקציות השונות שבה. הבדיקה העלתה שהתקשורת עמם לא מאובטחת, כך שהפרטים הרגישים שמוזנים על ידי כל משתמש, וכוללים מספרי תעודות זהות ופרטי כרטיס אשראי, חשופים לעיני צדדים שלישיים.
"נציין כי מפלגת הליכוד טיפלה בפרצת האבטחה במהירות והייתה קשובה לממצאים", נמסר מצ'ק פוינט.
אפליקציית העבודה - עיקרי ממצאי הבדיקה:
• האפליקציה מחלצת את רשימת אנשי הקשר של המשתמשים ללא ידיעתם ומעלה אותה לשרת חיצוני: מיד עם מתן הגישה לפרטי אנשי הקשר של המשתמש ולחיצה על כפתור ה"התחל להשפיע", נשלחים כל פרטי אנשי הקשר שנמצאים על מכשיר הטלפון למאגר המידע של המפלגה - כולל שמות, מספרי טלפון וכתובות מייל.
• נראה כי האפליקציה ממפה את הקשרים החברתיים של המשתמשים על בסיס ניתוח שמות אנשי הקשר, וזאת על מנת למפות את טיב הקשר בין המשתמש לבין אנשי הקשר שלו, ובכך לאתר ככל הנראה מצביעים פוטנציאליים. ניתוח זה נעשה ללא ידיעת המשתמש - כל זאת בניגוד להתחייבות כי הגישה לרשימת אנשי הקשר מתבצעת על מנת "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך... תוכן השיחות לא ינוטר ו/או ישמר על ידי המפלגה".
• באפליקציה קיימת אפשרות של סיווג מידת הקשר של המשתמש עם איש הקשר הרלוונטי, כנראה מתוך כוונה ליצור רשימה של אנשי קשר קרובים אליו במיוחד שתישמר במאגר הנתונים של המפלגה. האפליקציה מאפשרת למפלגה לעבור על כל אנשי הקשר של המשתמש ולאתר את האנשים הקרובים אליהם, וזאת באמצעות חיפוש סיומות ותחיליות חיבה והקטנה המוצמדות לשם, ומילות קירבה ואהבה, למשל: "אמא", "אבא", "סבתא" יסווגו כקשרים קרובים, כמו גם כל מי שמסתיים ב"צ'וק", "צ'יק", "ל'ה" אשר יישמרו במאגר המידע כבעל קשר קרוב במיוחד אל המשתמש. עם זאת, בחברה הסבירו כי למרות סוגיית הפרטיות, כל המידע שמועבר לשרת, מועבר בצורה מוצפנת, "כמצופה בטיפול מתעבורה עם מידע רגיש".
"עשרות אלפי מתקפות סייבר מידי יום"
"כמו שניתן לראות, האפליקציות שנבחנו מחזיקות במידע רגיש ביותר על ציבור הבוחרים מכלל הקשת הפוליטית, אשר מציפות סוגיות מהותיות הקשורות לאבטחת מידע ולפרטיות של המשתמשים", סיכמו בצ'ק פוינט. "במקרים מסוימים שקרו בעבר, פרצות מעין אלו אפשרו לגורמים בלתי מורשים להשיג מידע אישי בעל ערך ולהשתמש בו לצרכיהם".
"מובן שגישה למידע כמו רשימות מתפקדים וקרוביהם, הכולל ניתוח קשרים חברתיים ופרטים אישים מקיפים אודותיהם, עשויה לסייע במתקפות סייבר משמעותיות. אנו תקווה שהמפלגות המציעות את האפליקציות הנ"ל, יקיימו את הצעדים הנדרשים בכדי לשמור על המידע של המשתמשים, להגן עליהם ועל הליך הבחירות בישראל בעידן בו עשרות אלפי מתקפות סייבר מתרחשות מידי יום".
ממפלגת הליכוד נמסר בתגובה: "קיבלנו את פניית צ'ק פוינט, טיפלנו בפירצה מיד - מידע אישי לא דלף ושום נזק לא נגרם".
ממפלגת העבודה נמסר בתגובה: "מודים לחברת צ'ק פוינט שציינה לחיוב את רמת אבטחת המידע של מפלגת העבודה. מטרת האפליקציה היא לאפשר לפעילי המפלגה לשכנע את חבריהם באמצעות העברת תכנים באופן ישיר. לשם כך האפליקציה נדרשת לגשת לאנשי הקשר של המשתמש. הטענה המוצגת איננה נכונה מאחר וכדי לקבל גישה לרשימה נדרשת הסכמתו של המשתמש באפליקציה, כפי שנדרש בחנויות האפליקציות וכפי שעושות עוד אלפי אפליקציות ברחבי העולם. מיפוי אנשי הקשר נעשה עבור שיפור חוויית המשתמש בלבד והוא אינו נשמר".
ברשות להגנת הפרטיות נמסר בתגובה: "הסוגיה מוכרת לרשות להגנת הפרטיות, אשר בוחנת האם התקיימה הפרה של חוק הגנת הפרטיות ותקנות אבטחת מידע, ובכלל זאת חובת הדיווח החלה על ארגון בדבר התרחשות אירוע אבטחה חמור".