רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

כך מפלגת העבודה חושפת את חבריה

רוצים לברר אם מישהו חבר מפלגת העבודה? הזינו תעודת זהות שלו לאתר הקשור למפלגה ותגלו. עם טיפה מאמץ וידע בתכנות תוכלו לגלות גם את כולם בקלילות

תגובות
העימות בין המתמודדים על ראשות העבודה
אוליבייה פיטוסי

מפלגת העבודה, שעורכת היום (שלישי) בחירות מקדימות לבחירת יושב ראש, מספקת כלי מקוון שמאפשר למצביעים הפוטנציאליים לבדוק אם הם רשומים ואם הסדירו את התשלומים לשנת 2017. אולם בכלי יש פירצת פרטיות, משום שהוא מאפשר לכל גולש לגלות מי חבר במפלגה, כך גילתה הגולשת אורה פלד נקש.

בדף הבית של האתר הרשמי של המפלגה מופיעה הפניה ל“בדיקת זכאות הצבעה בבחירות ליו”ר מפלגת העבודה ומועמדה לראשות הממשלה”, שמקושרת לכתובת https://www.haavoda.com/Member/Registrations?e=eyor.

תחת הכותרת “בדיקת זכאות הצבעה בבחירות לתפקיד יו”ר העבודה” והשורה “רשאים להצביע חברי/ות מפלגת העבודה המופיעים בספר הבוחרים”, מתבקשים הגולשים להזין מסת”ז כולל ספרת ביקורת, ולעבור מבחן טיורינג כדי להוכיח שאתה גולש (I am not a robot). עם זאת, המפתח ופעיל הקוד הפתוח תומר כהן דיווח בטוויטר כי גם מנגנון זה ניתן לעקיפה בקלות, כך שאין מה שימנע מאיסוף סיטוני של פרטי המתפקדים.

מסת”ז של מי שאינו חבר מפלגת העבודה יחזיר את התשובה “אינך כלול בספר הבוחרים”. חברי מפלגה שהזינו את המסת”ז לבקשתי קיבלו הודעה שמאשרת שהם חברים, כולל שמם המלא ובחלק מהמקרים התייחסות שהעידה על מינם.

כלי בדיקת אישור חברות במפלגת העבודה באתר haavoda.com
חדר 404

משמעות הדבר היא שאפשר להזין מסת”זים בלי לדעת של מי הם (ואפילו מספרים אקראיים, תוך שימוש באלגוריתם לחישוב ספרת הביקורת), ולקבל עבור אלו מהם ששייכים לחברי מפלגת העבודה את השם המלא והמין (במפלגת העבודה רשומים כיום כ-58 אלף חברים בעלי זכות בחירה).

אישור חברות במפלגת העבודה באתר haavoda.com
חדר 404

בדיקת שני מסת”זים מפוברקים שעומדים באלגוריתם ספרת הביקורת העלתה שהם הוזנו למערכת לבדיקות בתור חברי מפלגה בשם “בדיקה טסט” ו”בדיקת התפקדות” (“הנך חבר/ה, אך טרם הסדרת את תשלום דמי החבר לשנת 2017”).

עוד בעיה בכלי הבדיקה היא הקשר הלא-ברור שלו למפלגת העבודה. בעוד הדומיין של האתר הרשמי של המפלגה הוא havoda.org.il, כלי הבדיקה נמצא בדומיין אחר, haavoda.com. בדף הראשי של האתר יש איור של מפה ולוגו של מפלגת העבודה, שכל אחד יכול להשיג ולשים באתר שלו, ושדה הרשמה, אבל אין שום דרך ליצור קשר עם בעלי האתר.

בעוד רישום הדומיין (WHOIS) של האתר הרשמי של המפלגה מעלה שהוא רשום על שם המפלגה ויש בו פרטי התקשרות מלאים שלה, מי שרשם את הדומיין של כלי הבדיקה עשה זאת דרך שירות בשם Domains By Proxy, שנועד להסתיר את פרטי בעל הדומיין, ומספק פרטי התקשרות של חברת דומיינז ביי פרוקסי בסקוטסדייל, אריזונה, ואת כתובת האימייל haavoda.com@domainsbyproxy.com.

למעשה, הקשר היחיד הנראה לעין בין האתר הרשמי של מפלגת העבודה לבין אתר כלי הבדיקה הוא הלינק שהראשון נותן אל השני. לגולשים שהגיעו לכלי הבדיקה מלינק ישיר שקיבלו מחבר או דרך גוגל, אין דרך לוודא שמדובר באתר אותנטי של מפלגת העבודה ולא באתר מתחזה או זדוני.

לפי חוק הגנת הפרטיות, מידע על דעותיו של אדם – והדבר כולל חברות במפלגה, שמעידה על דעה פוליטיות – מוגדר “מידע רגיש”. מאגר שיש בו מידע כזה חייב להיות רשום אצל רשם מאגרי המידע, אסור להשתמש במידע הזה שלא למטרה שלשמה הוכנס למאגר, ובעל המאגר, מחזיק המאגר ומנהל המאגר, “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”.

“העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם”, מסביר עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות ובעברו מתמודד במפלגת העבודה.

“הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 ש”ח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו”.

כדי למנוע פירצת פרטיות כזאת, שמהווה פוטנציאל לפגיעה בפרטיות חברי המפלגה, צריך היה להוסיף פקטור אימות לפני הבדיקה – למשל, מספר טלפון סלולרי, שאליו היתה נשלחת התשובה. הגנת הפרטיות היחידה שהצלחתי למצוא באתר, למעט התקשורת המאובטחת (HTTPS) שאמורה להיות מובנת מאליה, היא מבחן האני-לא-רובוט, שמחייב אשרור ידני בכל בדיקה בנפרד. כאמור, הוא אמור היה למנוע קצירה המונית של פרטי חברי מפלגה, אך הוא לא פותר את הבעיה.

אבל אי אפשר לצפות להרבה בתחום ההגנה על הפרטיות ממפלגה שח”כיה מספימים את החברים מזה שנים, שהמתמודדים על ראשותה מטרידים את חבריה בספאם סמסים, ושח”כית שמנסה לגייס את חברי המפלגה נגד ספאם הסמסים עושה זאת באמצעות ספאם סמסים.

הודעתי למפלגת העבודה על הבעייתיות בכלי הבדיקה. תגובתה תתפרסם כאן כשתתקבל.

פורסם לראשונה בחדר 404



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות