בואו לגלות את עמוד הכתבה החדש שלנו
${m.global.stripData.hideElement}
 

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

חבר רשום אצל בנט? אתר הבית היהודי היה פרוץ לרווחה

פרטי חברי הבית היהודי היו זמינים לכל דרך אתר המפלגה, אך זו התעלמה במשך יותר מחודש מדיווח בנושא; כך (לא) עשתה גם הרשות להגנת הפרטיות

2תגובות
נפתלי בנט. "אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים", טענו במפלגה
אוליבייה פיטוסי

ספר הבוחרים של מפלגת הבית היהודי בראשות נפתלי בנט היה פרוץ להורדה, בגלל פרצות פרטיות חמורות באתר המפלגה. 

הפרצות התגלו בבדיקה יזומה של, רן בר זיק מהבלוג אינטרנט ישראל ועידו קינן מ"חדר 404" (פירוט טכני של הפרצות אצל בר-זיק). הן חשפו את זהותם של חברי המפלגה, ועלולות להוות עבירה על חוק הגנת הפרטיות. בעקבות פנייתנו חסמה המפלגה את הפרצה המשמעותית מביניהן.

הפרצות נמצאו בכלי לבדיקת חברות שהמפלגה הפנתה אליו מעמוד הבית של האתר. בעמוד, בכתובת ysvote.co.il/bait, שבראשו נכתב בחירות ליור מפלגת הבית היהודי, התבקשו המצביעים להזין מספר תעודת זהות ולהקליק על כפתור. האתר החזיר תשובה – האם המסתז קיים בספר הבוחרים או לא, ואם הוא קיים, גם את שם החבר/ה ועיר המגורים שלו/שלה.

ראשית, העמוד לא הכיל שום הגנה לווידוא הבעלות של השואל על המסתז. פרצה זו מאפשרת לכל גולש לבדוק באתר תעודת זהות של כל אדם, ולגלות אם הוא חבר במפלגה.

טופס בדיקת החברות בבית היהודי
חדר 404

העמוד גם לא מוגן מפני מתקפת brute force - הצפה של שאילתות זמן קצר. brute force היא אחת מההתקפות הוותיקות ביותר בתחום המחשוב, וידועה מזה כ-30 שנה. ישנן הגנות רבות שניתן ליישם בקלות על מנת למנוע מתקפה כזו, למשל הטמעת כלי לאבחנה בין תוכנות אוטומטיות לגולשים אנושיים (CAPTCHA), הגבלת מספר השאילתות שאפשר לשאול בפרק זמן מוגדר, או מניעת בקשות מרובות מכתובת IP בודדת. 

בהיעדר ההגנות, הפרצה הזאת מתירה להאקרים לשלוח, ידנית או באמצעות בוט, שאילתות על כל טווח תעודות הזהות הישראלי, ולהוריד את ספר הבוחרים המלא של המפלגה.

אבטחת המידע של העמוד כל כך עלובה עד שהוא אפילו לא אובטח ב-SSL, כך שהשאילתות והתשובות נשלחו בטקסט נקי ובלתי מוצפן (cleartext). באופן זה, הן חשופות לספק האינטרנט שדרכו הגולש מחובר לאתר, וכן לכל מי שמנטר את התעבורה אל האתר וממנו - מהאקרים ועד ה-NSA.

חוק הגנת הפרטיות מגדיר נתונים על דעותיו ואמונתו של אדם – שהשתייכות למפלגה נמנית עליהם – כמידע רגיש. מאגר מידע רגיש חייב ברישום אצל רשם מאגרי המידע, והחוק מטיל אחריות חוקית לאבטח את המידע בו: בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע. אבטחת המידע מוגדרת בין השאר כהגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין.

ביולי דיווחנו על פרצה דומה (ופרצות נוספות) באתר מפלגת העבודה, שקיימה אז את הפריימריז שלה. המפלגה חסמה חלק מהפרצות, ולבסוף סגרה כליל את עמוד בדיקת החברות. עוד יהונתן קלינגר מהתנועה לזכויות דיגיטליות הסביר אז כי העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם. הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 שח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו.

בר-זיק דיווח למפלגת הבית היהודי על הבעיות ב-14/11, אולם המפלגה לא השיבה לפנייתו, ובחודש שעבר מאז הפנייה לא סגרה את הפרצות ולא הסירה את העמוד, אף שהבחירות ליור המפלגה התקיימו לפני יותר משמונה חודשים. בר-זיק גם פנה פעמיים, ב-21/11 וב-27/11, לעוד עלי קלדרון, הממונה על הפיקוח ברשות להגנת הפרטיות (לשעבר רמוט), הרגולטור שאמור לאכוף שמירה על פרטיות במאגרי מידע, וזה לא השיב ולא הביא לסגירת הפרצות.

מזל טוב להאקר. כך זה נראה כשחושפים את זהותו של חבר מפלגה
חדר 404

ביום רביעי ביקשתי תגובה ממפלגת הבית היהודי. בבוקר יום חמישי עמוד הבית של האתר כבר היה מעודכן עם כלי חדש לבדיקת חברות במפלגה. הפרצות נחסמו, וכעת צריך לעבור ריקפצה כדי להציג שאילתה. עם זאת, עדיין אפשר לבדוק כל מסתז, ולגלות אם בעליו הוא חבר המפלגה, מה שמו, באיזו עיר הוא גר ומה איזור הבחירה שלו.

ממפלגת הבית היהודי נמסר בתגובה:

אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים ופרטי המתפקדים חסויים ונשמרים במחשבי המפלגה.

הקישור שצורף לשאלת הכתב, ישב על ספריה ניסיונית זמנית באתר חברת התוכנה ובעקבות פניית הכתב הקישור הוסר.

הקישור כלל אישור לספר בוחרים ישן בלבד שאיננו בתוקף וללא פרטיהם האישיים של המתפקדים. אלו פרטים שפתוחים בפני הציבור ואינם חסויים.

הערות לתגובה:

אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים – לא, הוא לא, כפי שאפשר לראות מהפרצות ומהעובדה שאפילו SSL לא היה שם.

פרטי המתפקדים חסויים ונשמרים במחשבי המפלגה – וכמו כן היו זמינים לכל גולש דרך עמוד בדיקת החברות הפרוץ.

הקישור שצורף לשאלת הכתב, ישב על ספריה ניסיונית זמנית באתר חברת התוכנה ובעקבות פניית הכתב הקישור הוסר – זה עמוד בדיקת חברות במפלגה שלונקק מדף הבית הרשמי של המפלגה, לא ממש מעניין אותי איפה הוא יושב ומי מפעיל אותו עבור המפלגה. אגב, הספריה הזאת כל כך זמנית שהפרצות קיימות לפחות מאוגוסט השנה, ואפשר להניח שאף מוקדם יותר, לאור העובדה ששימשה לבדוק חברות במפלגה לצורך השתתפות בבחירת היור בסוף אפריל.

הקישור כלל אישור לספר בוחרים ישן בלבד שאיננו בתוקף וללא פרטיהם האישיים של המתפקדים. אלו פרטים שפתוחים בפני הציבור ואינם חסויים – אם מדובר בספר בוחרים ישן, שאינו בתוקף ואין בו פרטים אישיים של המתפקדים, והמידע פתוח בפני הציבור – מדוע הסירה המפלגה את העמוד, כשהיא פוגעת ביכולתו של הציבור להשיג את המידע? אם הפרטים הללו אכן פתוחים בפני הציבור, אשמח לקבל מהמפלגה עותק של ספר הבוחרים המלא שלה". 

עוד יהונתן קלינגר מהתנועה לזכויות דיגיטליות התייחס גם הוא לטענה הזאת:

המידע על האם אדם מסוים הוא חבר מפלגה הוא מידע אישי שיכול להוות גם שיוך פוליטי. עצם החשיפה שלו היא פגיעה בפרטיות. עצוב לשמוע שעוד מפלגה פוליטית לא עומדת בהוראות חוק הגנת הפרטיות, הקובעות כי על בעל מאגר מידע למנוע גישה לא מורשית.

בין אם מדובר ברשימה עתיקה ובין אם לא, ובין אם מדובר בספריה נסיונית ובין אם לא, מדובר במחדל אבטחה שיכול להוביל למאסר של מנהלי המאגר.

זו לא הפעם הראשונה שפוליטיקאים מפקירים את הפרטיות שלנו, ואם זו רמת האבטחה שהם מפעילים על מאגרים שלהם, אני אופתע אם הם יקדמו חוקים להגנה על מידע פרטי.

המפלגה לא התייחסה לשאלה על התעלמותה מהדיווח של בר-זיק לפני חודש.

מהרשות להגנת הפרטיות נמסר: איננו מתייחסים לנושא הספציפי, ומכל מקום הרשות להגנת הפרטיות אינה מגיבה בנושאי אכיפה עד לתום הליכים וגיבוש מסקנות.

גם הרשות לא התייחסה לשאלה על התעלמותה מהדיווח של בר-זיק לפני חודש.

מהרשות הלאומית להגנת הסייבר נמסר אחרי הפרסום:

אין ספק כי הנושא מהווה בעיית אבטחה. לצערנו נראה כי האתר כבר לא זמין אך עברנו על הדוח באתרכם ונראה כי נאסף מספיק מידע על מנת לפנות לבעלי האתר ולפעול לפתרון הבעיה.

פורסם לראשונה בחדר 404



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו