בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

האיראנים לא יודעים אבטחת מידע? המטה הלאומי בליכוד: Hold My Beer

ברשתות צחקו על איראן שלא יודעת לשמור על הארכיון הגרעיני שלה, וקצת שכחו שגם הסייבר ניישן שלנו מלאה בפאדיחות אבטחה. כמו זו של אתר המטה הלאומי בליכוד

תגובות
כנס מפלגת הליכוד
מגד גוזני

אתר "המטה הלאומי בליכוד" סבל מפירצות אבטחה ופרטיות, שאיפשרו לברר אם אדם הוא חבר ליכוד בהווה (ובחלק מהמקרים, אם היה חבר בעבר) באמצעות מספר תעודת זהות. בנוסף, הן אפשרו לקבל פרטים אישיים של החבר, וכן להוסיף חברים פיקטיביים.

הפרצות התגלתו בשיתוף פעולה בין חדר 404 ורן בר זיק מ"אינטרנט ישראל", שפרסם פוסט טכני מפורט בנושא. בעקבות פנייתנו למטה הלאומי, האתר הוסר נכון לשעות הצהריים, ומבדיקה של בר זיק ומומחה אבטחה נוסף הפרצות אינן זמינות עוד.

פרצות דומות גילינו בשנה שעברה באתר מפלגת העבודה ובאתר הבית היהודי. בעבר חשפתי פרצות אבטחה באתרים של עמרם מצנע ממפלגת העבודה ושאול מופז מקדימה. כל הפרצות התגלו על ידי משתמשים או מומחי אבטחת מידע פרטיים, ולא על ידי המפלגות או רשויות הפרטיות והסייבר הממלכתיים.

פרטיו של חבר מפלגת הליכוד חשופים בפירצה באתר המטה הלאומי בליכוד
עידו קינן, חדר 404

פרצת הפרטיות באתר המטה הלאומי, שהיתה קיימת באתר לפחות מנובמבר 2017, גלויה לעין ולא דורשת ידע או שימוש בכלים מקצועיים. בדף הבית של האתר היה שדה שקורא לגולשים - "בדוק מצב התפקדותך, הזן תעודת זהות". אם המספר לא נמצא במאגר, המשתמש יקבל הודעה שלפיה "אינך רשום\ה בספר הליכוד. יש למלא טופס התפקדות", יחד עם טופס התפקדות שיש למלא. לעומת זאת, אם המספר נמצא במאגר, הגולש יקבל טופס התפקדות עם כל פרטיו המלאים.

בבדיקה שערכנו למספרים שונים באישור בעליהם, גילינו שהמאגר מכיל הן חברי ליכוד והן אנשים שכבר לא חברים בליכוד, ומחזיר עבור חברים שונים תוצאות שונות. לעתים הוא אף חושף פרטים אישיים מפורטים על חבר המפלגה כפי שהוזנו בטופס ההתפקדות (שם מלא, שנת לידה, מין, שם האב, מצב משפחתי, ארץ לידה, שנת עליה, כתובת מגורים, מספרי טלפון ואימייל), ולעתים רק מאשר שהוא חבר מפלגה. שני סוגי המידע לא אמורים להיות חשופים לציבור - אפילו המידע על חברות במפלגה נחשב לפי חוק הגנת הפרטיות למידע רגיש, ויש לכל מי שמחזיק בו אחריות לשמור על כך שלא ידלוף.

דניאל, חבר מפלגה לשעבר שביקש לא לפרסם את שמו המלא, מספר: "הייתי פקוד לליכוד במשך שנתיים עד לפני 5 שנים, לא התפקדתי דרך המטה הלאומי אלא דרך קבוצה אחרת". כשהזנו את מספר תעודת הזהות שלו באתר קיבלנו פרטים אישיים - שם מלא, שנת לידה, כתובת מגורים וטלפון נייד ונייח. בדיקה של מספרים של שני חברי מפלגה נוספים, אחד נוכחי ואחד לשעבר, התקבלה הודעה שלפיה - "התפקדות נמצאה תקינה. אנא עדכן את כתובת המייל שלך", ללא כל פרטים מזהים.

כניסה ידנית תאפשר להוריד את המאגר רשומה אחרי רשומה. לעומתה, שימוש בכלים מקצועיים מאפשר הורדה של המאגר המלא באמצעות שאילתה שרצה על כל הטווח האפשרי של מספרי הזהות ומורידה את כל הפרטים שהאתר מספק. זאת משום שאין שם שום הגנת  מפני מתקפת brute-force (שמונעת חיפושים אוטומטיים), כמו הגבלת מספר שאילתות ברצף, השהייה אחרי מספר שאילתות, חסימת שאילתות רבות מכתובת IP מסויימת או קפצ'ה.

ציוץ של רן בר-זיק על פירצת אבטחה - דלג

ניתן גם, כאמור, להשתיל במאגר משתמשים פיקטיביים, וכך לשבש את פעילות המטה או לסבך אנשים שלא מודעים לכך עם המפלגה ומוסדותיה.

דוגמאות לדרכים לניצול לרעה של מידע על חברי מפלגה:

ביקשנו מדובר הליכוד התייחסות לפירצה, וציינו שלמרות שהאתר לא שייך למפלגה אלא למטה הלאומי בליכוד, למפלגה יש אחריות על הדרך שבה המידע הזה מועבר ומנוהל. הדובר השיב: "כפי שאמרת, לא מדובר באתר הליכוד. להבנתי מדובר באתר עצמאי של המטה הלאומי והמידע שמופיע שם הוא של מתפקדים דרך האתר שלהם". עדכנו את הדובר כי באתר יש גם מידע על חברים שלא התפקדו דרך האתר. 

היועץ המשפטי של הליכוד, עו"ד אבי הלוי הדגיש: "לא מדובר באתר הליכוד ולא באתר שמנוהל על ידי מנהלת הליכוד. מדובר באתר עצמאי של קבוצת חברים בליכוד ולמיטב ידיעתנו המידע שמצוי בו נוגע למי שהתפקד דרך אתר זה. הליכוד מנהל את מאגרי  המידע שברשותו בהתאם לנהלים ותוך הקפדה יתרה על פרטיותם של חברי התנועה. הליכוד ישוב וירענן את הנחיותיו בקרב פעילי המפלגה שעשויים להחזיק במאגרי מידע מסוג זה".

פנינו למנהל המטה הלאומי, ישי מרלינג, והוא דאג להסרה מיידית של האתר, שנכון למועד הפרסום אינו זמין לגולשים. נפרסם את תגובת המטה לכשתגיע.

פורסם לראשונה בחדר 404
רן בר-זיק הוא מפתח בחברת OATH וכותב אתר internet israel.com



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו