🚨 מפלגת העבודה ניצלה מפירצה נוספת כי מאגר הבוחרים ירד מהרשת; מגישה תלונה במשטרה על נסיון פריצה

אתר haavoda.com של מפלגת העבודה, שאיפשר לבדוק מי חבר במפלגה, אינו זמין לפחות משעות הבוקר המאוחרות. המפלגה הגישה תלונה ביחידת הסייבר של המשטרה בטענה שזיהתה נסיון פריצה לאתר, דיווח ספי עובדיה בחדשות 10. בשבוע שעבר חשפנו בחדר 404 מספר פירצות אבטחה ופרטיות באתר. סגירת האתר כעת הביאה לחסימתה של פירצת אבטחה נוספת, שמדווחת כאן לראשונה, אשר חשפה פרטים אישיים רבים – ובהם שם מלא, ת”ז, גיל, ארץ מוצא, כתובת מגורים, מועד הצטרפות למפלגה, הצבעה או אי הצבעה בפריימריז ועוד – על חברי מפלגה וגם על חברים לשעבר שעזבו את המפלגה.

תקציר הפרקים הקודמים: ביום שלישי, יום הפריימריז במפלגת העבודה, חשפנו כאן פירצת פרטיות, שמאפשרת לכל גולש להכניס כל תעודת זהות ולגלות אם בעליה הוא חבר מפלגת העבודה, מה שמו ובחלק מהמקרים מה מינו. בהמשך עדכנו שניתן גם לעקוף את מבחן אני-לא-רובוט (reCAPTCHA) באתר ולהוריד למחשב באמצעות סקריפט את מאגר חברי המפלגה המלא – שם, ת”ז ועבור חלק מהחברים מין. ביום רביעי דיווחנו כי במאגר החברים מופיעים גם אנשים שעזבו את המפלגה, ושהמפלגה משום מה לא מחקה את פרטיהם ממאגריה. באותו יום דיווחנו כי המפלגה חסמה אחת מהפירצות – זו שאיפשרה להוריד את המאגר המלא. ביום חמישי הבאנו את תגובת מפלגת העבודה, שלפיה “האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה”; “האתר של מפלגת העבודה הינו אתר מאובטח […] [המפלגה] ביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה”.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

אתר haavoda.com היה ממשק שסיפק גישה למסד הנתונים של המפלגה ממספר נקודות גישה, שחלקן פירצות, כלומר לא היו אמורות להיות פתוחות. אחת מהן נחסמה בעקבות חשיפתה. ביום חמישי המתכנת רן בר זיק רן ואני בדקנו פירצת אבטחה נוספת באתר, וזו כאמור התבררה כפעילה.

במסגרת הבדיקה, שביצענו על פרטיהם של אנשים שאישרו לנו לבודקם, גילינו שהמאגר מכיל שדות מידע רבים על כל חבר, אולם רובם נותרו ריקים. אחד השדות המסקרנים הוא שדה בשם newLikud, שמכיל את שמה של מפלגת הליכוד, אולם לא הצלחנו לברר את משמעותו. הוא היה ריק אצל האנשים שבדקנו, ובהם נועה, שעזבה את מפלגת העבודה והצטרפה לאחרונה לליכוד. “מקריפ”, אמרה נועה, שביקשה שלא נפרסם את שמה המלא, למראה הפרטים שמפלגת העבודה מחזיקה עליה, יותר משנה אחרי שעזבה. “שמירה של פרטי מידע אחרי שבחרתי לבטל חברות במפלגה מרגישה כמו ‘האח הגדול’, ולא אמורה לקרות במדינות מתוקנות”.

מבנה מאגר הנתונים עם פרטים על חברים וחברים לשעבר במפלגת העבודה מאתר haavoda.com

הפרטים על חברים במפלגת העבודה מאתר haavoda.com. מחקנו מידע מזהה

😠 רשת CNN איימה לחשוף את יוצר הסרטון שטראמפ צייץ 💸 ברק כהן במתקפת דירוגים על פפר • הפירצה שחשפה את חברי “העבודה” 🗳️ האחראי על האינטרנט

הקליקו לארכיון האחראי על האינטרנט

CNN נותנת לעצמה אגרוף בראש

נשיא ארה”ב – סיפור אמיתי, אפילו מופיע בוויקיפדיה – דונלד טראמפ התקוטט מילולית בטוויטר שלו עם שני מגישי תוכנית ב-MSNBC, כעס על הסיקור שהפרשה קיבלה ברשת החדשות CNN וצייץ ביום ראשון את ההשתגים #FraudNewsCNN ו-#FNN, וסרטון שבו הוא נראה מתאבק ומפיל לרצפה בנאדם עם לוגו של CNN במקום ראש, כי זה העולם שבו אנחנו חיים היום.

מקורו של הסרטון במשתמש רדיט בשם HanAssholeSolo, שפרסם ממים נוספים, בהם גזעניים ואנטישמיים. כתב CNN אנדרו קזינסקי איתר את זהותו של האיש ופנה אליו ביום שני לקבל תגובה. ביום שלישי HanAssholeSolo פרסם התנצלות על מעשיו וטען שהוא לא באמת גזען, ומחק את כל שאר הפוסטים שלו בסברדיט /The_Donald. בהמשך שוחח עם קזינסקי ואמר שהוא חושש לבטחונו אם שמו ייחשף.

קזינסקי דיווח (זהירות, וידאו באוטופליי):

CNN לא מפרסמת את שמו של “HanA**holeSolo’s” משום שהוא אדם פרטי שפרסם הצהרת התנצלות נרחבת, הראה חרטה בכך שאמר שהוריד את כל הפוסטים הפוגעניים, וכי אמר שהוא לא הולך לחזור על ההתנהגות המכוערת הזאת ברשתות החברתיות. בנוסף, הוא אמר שהצהרתו יכולה לשמש כדוגמה לאחרים לא לעשות כמוהו.

CNN שומרת לעצמה את הזכות לפרסם את זהותו אם משהו מזה ישתנה.

באומת הרשת היו מי שראו במשפט הזה סחיטה באיומים: “תתנהג יפה או שנפרסם את שמך”. היו גם מי שלקחו את זה הלאה – קזינסקי ומשפחתו נתונים למסע הטרדה, גולשים פרסמו את פרטיו האישיים והוא קיבל איומים ברצח, לפי דיווח של באזפיד. בשלישי בערב, בתגובה לטענות שאיים על HanAssholeSolo, צייץ קזינסקי: “לידיעתכם, ‘HanAssholeSolo’ התקשר אלי כרגע.’אני לגמרי מסכים עם ההצהרה שלך. לא אויימתי בשום צורה’. [כאן הופיע לינק לציוץ קודם של קזינסקי: “CNN בחרה באופן פרטני לא לחשוף את זהות הבחור הזה ולהגיד שאיימנו על מישהו זה שקר מוחלט”]. ‘אני מקווה שזה יתן לאחרים השראה להפסיק’, הוא הוסיף”.

ב-CNN מסרו בתגובה לבאזפיד:

CNN החליטה לא לפרסם את שמו של משתמש-הרדיט מחשש לשלומו. כל טענה שהרשת הפעילה סחיטה או כפייה על המשתמש היא שקרית. המשתמש, שהינו גבר בגיר, לא ילד בן 15, התנצל ומחק את החשבון שלו [ברדיט] לפני שדיבר עם הכתב שלנו. CNN מעולם לא עשתה שום הסכם, משום סוג, עם המשתמש. למעשה, CNN כללה את החלטתה להימנע מפרסום זהות המשתמש במטרה להיות שקופה לגמרי שאין שום עיסקה”.

עבודה רשלנית

השבוע התקיימו בחירות מקדימות במפלגת העבודה, ואתר המפלגה הציע לבוחרים הפוטנציאליים כלי מקוון שבו יוכלו לבדוק אם הם זכאים להצביע. פירצות אבטחה ופרטיות בכלי הבדיקה איפשרו לכל אחד לבדוק עבור כל מספר ת”ז אם בעליו חבר מפלגה, ובאמצעות סקריפט להוריד למחשב את הרשימה המלאה של חברי המפלגה, וגם של אנשים שעזבו אותה, שמסתבר שהמפלגה ממשיכה להחזיק בפרטיהם האישיים.

אישה משוחחת בטלפון תחת שלט בחירות פריימריז של יצחק הרצוג ליד מרפאת שיניים בדיזנגוף סנטר, 4.7.2017. תמונה: עידו קינן, חדר 404

ליד קלפי של מפלגת העבודה בדיזנגוף סנטר. תמונה: עידו קינן

המפלגה חסמה למחרת את הפירצה שאיפשרה להוריד את הרשימה המלאה, ומסרה בתגובה:

האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.
[…]
יחד עם זאת ובשל רגישות הנושא מפלגת העבודה התייחסה ברצינות ובכובד ראש לפניית העיתונאי עידו קינן וביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה.

פפרספריי

ברק כהן מארגון “באים לבנקאים”, שנוהג להפגין מול בנקאים, יחצניהם ובני משפחותיהם, ואשר קיבל צו הרחקה ממנכ”לית בנק לאומי רקפת רוסק עמינח, החליט לקיים פעולת מחאה מקוונת נגדה – מתקפת דירוגים על אפליקציית הבנקאות פפר של הבנק.

השבוע עלה בנק לאומי בקמפיין מטעה ושקרי ; שמטרתו לשאוב צעירים להורדת בנק-אפליקציה בשם pepper ; וזאת בדיוק השעה להעביר מסר ישיר לבנקאים. מסר שיגבה מבנק לאומי מחיר כבד ; כלכלי אך במיוחד תדמיתי. בתוך פחות מדקה ניתן להפוך את אפליקציית pepper למוצר הכי מגונה בגוגל. איך ?

1. נכנסים ללינק (אנדרואיד או אייפון)
2. מורידים את האפליקציה (הורדה ללא פתיחתה)
3. מדרגים בכוכב 1 ומוסיפים תגובה הולמת
4. מסירים את האפליקציה
5. מאברוכ, קרעת את בנק לאומי
6. שתפי כדי שגם החברים יוכלו לקרוע את לאומי

המתקפה הביאה להצפת שתי האפליקציות של הבנק בעשרות דירוגי כוכב אחד, רבות מהן מלוות בהערות מילוליות נגד הבנק.

קמפיין דירוגים שליליים של ברק כהן לאפליקציית פפר של בנק לאומי


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

🗳️ “דעה אישית שהפכה לעובדה”; “הוחלט להנחיל שיפורי אבטחה נוספים” 💾 מפלגת העבודה מגיבה על פירצות האבטחה

פירצות אבטחה ופרטיות באתר מפלגת העבודה איפשרו לגלות זהות של חברי מפלגה (וחברי מפלגה לשעבר) באמצעות מספרי תעודת זהות, ולהוריד עותק של הרשימה המלאה על ידי הרצת סקריפט. חשפנו פה את הפירצות בצהרי יום שלישי, יום הפריימריז במפלגה, ורביעי בערב המפלגה חסמה אחת מהן. היום בצהריים הגיעו תגובות.

הרשות למשפט, טכנולוגיה ומידע (רמו”ט) במשרד המשפטים לא נוקטים עמדה, רק אומרים שיבדקו את הטענות:

המידע כפי שהובא בפרסום ייבדק וייבחן על ידי מחלקת הפיקוח ברשות למשפט, טכנולוגיה ומידע. ככלל נציין כי הליכי אכיפה הנערכים על ידי הרשות ותוצאותיהם לא מתפרסמים אלא רק לאחר השלמתם.

תעמולה בפריימריז של מפלגת העבודה בסניף הרצליה. צילום: טל שניידר, הפלוג

פריימריז במפלגת העבודה. תמונה: טל שניידר, הפלוג

תגובת מפלגת העבודה:

האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.

האפשרות לבדיקת זכות הצבעה הינה יכולת שהוטמעה באתר על מנת להקל על חברי המפלגה, לסייע ולהנגיש עבורם מידע בדבר סטטוס חברותם במפלגה. יכולת זו איננה זרה בעולם הטכנולוגי ואתרים רבים אחרים בארץ ובעולם משתמשים בה לטובת הגולשים כמו לדוגמא אתר מפלגת הליכוד ואתר מפלגת הבית היהודי.

לא טענתי זאת. טענתי שיש לאפשר לאליס לבדוק אם יש לה זכות הצבעה, תוך בדיקה שאליס היא אכן זו שמבצעת את הבדיקה על עצמה (למשל, על ידי שליחת התשובה למספר הטלפון הסלולרי של אליס, במקום להציג את התשובה באתר); טענתי גם שאין לאפשר לאליס לבדוק אם לבוב יש זכות הצבעה, משום שבכך היא מקבלת חיווי אם בוב הוא חבר מפלגה, פירצת פרטיות שמהווה פגיעה בפרטיותו של בוב לפי חוק הגנת הפרטיות – פירצה שעדיין לא נחסמה, אגב.

באשר לטענת הגישה למאגר נתוני המתפקדים: המפלגה מבהירה כי בניגוד לאתרי מפלגות אחרות, האתר של מפלגת העבודה הינו אתר מאובטח זאת בניגוד לאתרי המפלגות אחרות אשר אצלם לא שולבו כל אמצעי הגנה כלל, כדוגמת אתרי מפלגות הבית היהודי והליכוד.

ולמה אתה לא מגנה את אבטחת המידע בסוריה. עובדתית, האתר של מפלגת העבודה איפשר להוריד עם סקריפט את מאגר המידע עם רשימת חברי מפלגת העבודה (וחברים לשעבר שעזבו), פירצת אבטחה שמהווה פגיעה בפרטיותם לפי חוק הגנת הפרטיות. בנקודה זו הוא לא היה מאובטח כראוי, אלא האפשרות לשתות את רשימת החברים של המפלגה אינה פירצת אבטחה או פגיעה בפרטיות, וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.

יחד עם זאת ובשל רגישות הנושא מפלגת העבודה התייחסה ברצינות ובכובד ראש לפניית העיתונאי עידו קינן וביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה. [הכתבה הזאת;
ע”ק]

מפלגת העבודה רואה את תהליך הדיגיטציה כתהליך מתבקש בעידן הטכנולוגי הנוכחי ותעשה כל שביכולתה, ולא תחסוך במשאבים,על מנת לשפר את השירות אשר ניתן לחבריה, לעמוד בסטנדרטים המחמירים ביותר של אבטחת מידע ולשמור על מאגרי המידע שלה.

🗳️ מפלגת העבודה חוסמת רק אחת משתי הפירצות באתרה כי למי יש כוח לעבודה

שתי פרצות באתר מפלגת העבודה, שהמתכנת רן בר זיק ואני חשפנו פה השבוע, פגעו בפרטיות כשחשפו פרטים של חברים וחברים לשעבר במפלגה. היום חסמה המפלגה אחת משתי הפירצות, הגדולה מביניהן, אולם השאירה את השנייה פתוחה.

הפירצה הקטנה היא פירצת פרטיות מובנית בכלי המקוון לבדיקת זכות הצבעה בפריימריז של המפלגה. הכלי המקוון איפשר לחברי המפלגה להזין מספר תעודת זהות, לעבור מבחן אני-לא-רובוט (reCAPTCHA), ולקבל חיווי אם הם רשומים כבעלי זכות הצבעה, והחזיר להם את שמם המלא ובחלק מהמקרים את מינם. בהיעדר מנגנון לווידוא זהות הבודק, כל גולש יכול להכניס כל מספר תעודת זהות ולגלות אם בעליו הוא חבר המפלגה. פירצה זו לא נסגרה, כאמור, ועדיין זמינה באתר. המפלגה לא הגיבה לפנייתי בנושא הפירצה.

אישור חברות במפלגת העבודה באתר haavoda.com

אישור חברות במפלגת העבודה באתר haavoda.com

הפירצה הגדולה היא פירצת אבטחה באותו כלי בדיקה מקוון. המתכנת תומר כהן גילה שהוא יכול לעקוף את הממשק הוובי של כלי הבדיקה ולשלוח שאילתה ישירות למאגר הנתונים שאליו הוא מתממשק. השאילתה הזאת לא עוברת דרך מבחן אני-לא-רובוט, ועל כן מאפשרת לכתוב סקריפט שיציף את המערכת בשאילתות כלליות (כל טווח המספרים האפשרי של תעודות הזהות) או ממוקדות (רק מספרים שמתאימים לאלגוריתם של מסת”ז וספרת ביקורת, או רשימת המסת”זים האמיתית מתוכנת רשומון שמכילה עותק דלוף של מרשם האוכלוסין), ולקצור כך את כל מאגר מתפקדי מפלגת העבודה, כ-58 אלף בעלי זכות הצבעה.

בנוסף, בר-זיק גילה שבאמצעות שאילתה ישירה הוא יכול לקבל מידע לא רק על חברי מפלגה, אלא גם על חברי מפלגה לשעבר, שהמפלגה משום מה ממשיכה לשמור את פרטיהם במאגר שלה. המפלגה לא הגיבה על פירצה זו.

שאילתות על חברים לשעבר במפלגת העבודה מול אתר haavoda.com. מחקנו חלק מהפרטים המזהים

שאילתות על חברים לשעבר במפלגת העבודה מול אתר haavoda.com. מחקנו חלק מהפרטים המזהים

הפירצה הגדולה נחסמה, פרסם הערב מפתח התוכנה יונתן ביטון. הוא העלה צילומסך של שאילתה ששלח לאתר, ותשובה שמכילה הודעת שגיאה שלפיה הוא נכשל במבחן האני-לא-רובוט (“invalid captcha”).




בר זיק בדק את התיקון ומדווח: “לאחר שבדקתי מספר מספרי תעודת זהות, וגם ניסיתי לשחזר את הפריצה, אני יכול להעיד שהפירצה סגורה. היא נסגרה על ידי שימוש תקין במנגנון ה-reCAPTCHA, המנגנון שאמור לוודא שמדובר באדם אמיתי מאחורי הבקשה. עכשיו, כאשר מתבצעת קריאה לשרת, נשלח גם פרמטר שיכול להיווצר רק בדפדפן ורק אם המשתמש עבר את הבדיקה של ה-reCAPTCHA. השרת בודק את הפרמטר, מוודא שהוא תקין ורק אז שולח את התוצאה המתאימה. לפיכך הטופס בטוח. נכון, באופן עקרוני אדם יכול להכנס אל האתר ולהכניס מספרי זהות כרצונו, אבל זה כבר לא יהיה סקריפט אוטומטי ולפיכך אי אפשר תוך שעה להוריד את כל מאגר הנתונים של המתפקדים. מוטב היה גם להטמיע מנגנון שבולם יותר מדי קריאות מאותה כתובת IP, אך בתור תיקון חירום, התיקון שלעיל מספיק”.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

לסיכום, יממה או קצת יותר אחרי שהפירצות הובאה לתשומת לבה, מפלגת העבודה סגרה רק אחת מהן. המפלגה טרם מצאה לנכון להגיב לפניותיי העיתונאיות בנושא. איש מהמתמודדים על ראשות המפלגה חובבי ההספמה בסמסים לא התבטא בפומבי, לא לקח אחריות ולא התנצל על מה שעו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות הסביר שיכול להביא לעונש של 5 שנות מאסר ולפיצוי אזרחי של עד 50 אלף שקל ללא הוכחת נזק לכל אדם שפרטיותו נפגעה מהמחדל. הרשות למשפט וטכנולוגיה במשרד המשפטים, הרגולטור לענייני פגיעה בפרטיות, טרם הגיבה לפנייתי בנושא. המאגר הביומטרי לא ידלוף.

🕵️ ראש ה-NSA לשעבר רוצה שנשתף את הממשל במידע על הסייברמתקפות נגדנו

“טכנולוגיה מכפילה את עצמה מדי שנתיים. מידע ייחודי מכפיל את עצמו כעת מדי פחות משנה. המשמעות היא שניצור יותר מידע השנה מאשר בחמשת אלפים השנים האחרונות יחד. עשר המשרות המבוקשות ביותר שהצעירים מחפשים היום לא היו קיימות לפני עשור. לפני עשר שנים יצא האייפון. היום אנשים רצים לאייקלאוד, לאפליקציות. מה כל זה אומר? זה אומר שאנחנו מלמדים ילדים בבי”ס עבור טכנולוגיה שלא נוצרה, על עבודות שלא קיימות, לפתור בעיות שאנחנו לא יודעים שהן בעיות. הזדמנויות עצומות. אנחנו חיים בזמנים אקספוננציאליים”. כך פתח את דבריו קית’ אלכסנדר במסגרת נאומי 8 הדקות באירוע Rethink Cyber ב-25.7.2017, במסגרת שבוע הסייבר 2017.

אלכסנדר יודע משהו על סייבר, התפוצצות המידע ובעיות שאנחנו לא יודעים שהן בעיות. הוא כיהן כראש ה-NSA שמונה שנים כשאדוארד סנואודן הדליף לעיתונות מסמכים מהארגון שחשפו את העומק, ההיקף והיכולות הטכנולוגיות של ארגון הביון האמריקאי, ואת ההטעיות והשקרים של בכירי סוכנויות הביון, לא רק בראיונות ובנאומים אלא גם בדברים שאמרו לסנאטורים וחברי בית הנבחרים, בין השאר בעדויות בשבועה. חודשים ספורים לאחר מכן ביקש אלכסנדר לפרוש מהתפקיד. כיום הוא עומד בראש חברת הסייבראבטחה שהקים, איירוננט סייברסקיורטי.

אדוארד סנואודן, מדליף מסמכי ה-NSA. איור: DonkeyHotkey

אדוארד סנואודן, מדליף מסמכי ה-NSA. תמונה: DonkeyHotkey (cc-by)

“אם תחשבו על מה שיבמ עשו עם ווטסון – הם שיחקו ג’פרדי נגד כמה מהשחקנים המוצלחים בעולם וניצחו”, אמר אלכסנדר. “מה שהם עשו בקהילה הרפואית מרתק. אם אבחנו אצלך סרטן מוח יש לך 14 חודשים לחיות פלוס מינוס חודשיים – כי זה הזמן שלקח לחשב את הקרינה והכימותרפיה שאתה צריך. עם ווטסון זה ירד מ-30 יום לתשע דקות. הטכנולוגיה הזאת שנוצרת, שיתוף הפעולה, המידע הייחודי, ישנו את העולם שקיים היום. זה מרתק. אני מקווה שנגיע לבניית עין תלת-ממדית, פתרון לסרטן, בניית עמוד שדרה. לא נוכל להאט. אבל עם כל זה מגיעה פגיעויות עצומות. רק לפני עשור יצא אייפון והיתה מתקפה על אסטוניה. אני לא מאשים את אפל אבל מעניין לציין את התזמון. כראש ה-NSA, גם אני הואשמתי בדברים כאלה. כשחושבים על זה, מדינה תקפה – רוסיה, שנה אחר כך גאורגיה הותקפה באותה מתקפה, כשכוחות רוסיים נכנסו לשם, במקביל הותקפו הבנקים והממשלה במתקפות סייבר. ב-2008 הותקף משרד ההגנה האמריקאי על ידי רושעה. האשמה הוטלה על רוסיה. באופן אירוני, זה הוביל להקמת פיקוד הסייבר. הם עזרו לי לקבל את הכוכב הרביעי שלי [אלכסנדר קודם בדרגה לגנרל ומונה לראש פיקוד הסייבר החדש ב-2009, ע”‘ק], תודה רבה! הכל מסתדר לטובה, נכון? ב-2012 היו המתקפות ההרסניות – ארמקו הסעודית, וכו’ וכו’ וכו’. סייבר משמש עכשיו כאלמנט של עוצמה לאומית, וזה לא ייפסק”.

“לפני כחודש וחציתי הייתי באירוע דומה בסינגפור. שמונה דקות הנאום שלי עסקו בתופעה של יכולות סייבר ברמה מדינתית שמגיעות לאינטרנט והופכות לסחורה ולנשק, ואיך להתמודד עם זה. למחרת בבוקר הייתי בלונדון ו-WannaCry יצאה”, סיפר מייסד-שותף ומנכ”ל חברת הסייבראבטחה טים אייט, נדב צפריר, והראה צילום של שערי עיתונים על מתקפת הכופרה המסיבית שהדביקה מאות אלפי מחשבים ב-150 מדינות בעולם. וואנהקריי התבססה על פירצות אבטחה אפס-ימים (zero-day) שהקבוצה המסתורית The Shadow Brokers גנבה מה-NSA, הארגון שאלכסנדר עמד בראשו בזמן שצפריר היה מפקד המקבילה הישראלית, יחידה 8200 של צה”ל.

“היה לוואנאקריי כל מה שצריך כדי להגיע לכותרות”, אמר צפריר, “היא הגיעה לתפוצה רחבה ופגעה בהרבה אנשים. למרבה הצער היא גרמה לנזק אמיתי – בתי חולים בבריטניה שותקו, ניתוחים נדחו, ובכנות, כל זה קרה בגלל מתקפה די חובבנית. היתה כתבה בניו יורק טיימס, יש אנשים שטוענים שזה מסך עשן למתקפות אחרות שעשו שימוש באותן פירצות, שלכאורה שאדוברוקרז הוציאו מה-NSA. התוקפים לקחו בסך הכל 200 אלף דולר, כמובן שהנזק היה הרבה יותר גדול. אבל זה רק חלק ממה שאנחנו מדברים עליו בשנים האחרונות – זה אסימטרי ובלתי צפוי. אריק שמידט אמר ש’האינטרנט היא הדבר הראשון שהאנושות בנתה שהאנושות לא מבינה, הניסוי הכי גדול באנרכיה שאי פעם היה’. האם אנחנו מוכנים לעולם ההיפרמחובר הזה שנחווה בשנים הקרובות?”

“במבט לאחור”, חוזה-קובע צפריר, “2016 תיתפס כשנה מהפכנית בסייבראבטחה. כי ב-2016 השינוי הוא שהמדדים לא באמת סופרים את הנזק, זה כבר לא כמה, אלא מה נתון בסכנה. התוקפים הולכים על היסודות של החברה: 2016 התחילה עם אוקראינה עם תשתית החשמל, ואז בנגלדש – מערכות העברת כספים דיגיטליות, ואז לאינטרנט עצמה, עם המתקפה על DYN[, ספקית שירותי ה-DNS], עם הרושעה מיראי, ולבסוף הבחירות בארה”ב – וואו. ואחת המתקפות שלא פורסמה מספיק היא על ספקית החתימות האלקטרוניות DocuSign, וכשעושים זומאאוט השאלה היא לאן זה לוקח אותנו. מה יקרה כש-IoT יהיה מאוד נפוץ? האם יש לנו מה שנדרש לתמוך בהתמזגות של הסייבר עם המערכות הפיזיות שלנו בשנים קרובות?”

קית' אלכסנדר על גשר הפיקוד של ה-NSA. תמונה: donkeyhotey, donielle (cc-by-sa)

קית’ אלכסנדר על גשר הפיקוד של ה-NSA. תמונה: donkeyhotey, donielle (cc-by-sa)

“מה שכולנו יכולים לעשות זה ליצור מערכת חדשה, שתהיה יותר בת הגנה, פשוטה ומשולבת. זירקו את האייפונים שלכם!”, צחק אלכסנדר, שהארגון שבפיקודו גרם לרבים לאבד אמון בטלפון הסלולרי כמכשיר לניהול תקשורת אישית, פרטית ואינטימית. “אם נוכל להגן על רשת של חברה ולקחת את המידע שפוגע ברשת הזאת ולשתף אותו. […] הצעד הראשון הוא למצוא דרך לחלוק מידע בין חברות במגזרים במהירות רשתית, שיאפשר להגן על רשת, על מגזר, במהירות רשתית. זה חייב להיות במהירות רשתית. אם נעשה זאת, אפשר להתחיל להבין מי מתקיף ומה הוא מנסה לעשות. חשוב מכך, אפשר לעשות צעד נוסף – להתחיל לבנות את מה שנדרש כדי להגן על מדינה ולעבוד עם בני ברית. כיום, אם מישהו תוקף את הרשת של החברה שלכם, עליכם להגן עליה בעצמכם. זה מה שאנחנו עושים היום – כל חברה מגינה על עצמה ואז משתפת את המידע ידנית. אם מגזר האנרגיה ומגזר הפיננסים מותקפים, הם יכולים לשתף זה את זה, וחשוב מכך, את הממשל”.

אם בתפקידו הקודם הוא אסף מטעם המדינה כמה שיותר מידע באמצעים נסתרים, עכשיו אלכסנדר מציע לעשות זאת בגלוי ובהסכמה. “אם מדינה תוקפת אתכם, אין לכם יכולת לתקוף בחזרה. זה לא חוקי. אז מי יעשה זאת? זו חייבת להיות הממשלה. אבל אם הממשלה לא רואה את זה היא לא יכולה לעשות את זה. יש לנו היכולת הטכנית לעשות זאת היום. אם נעבוד יחד עם חברות בתוך מגזרים, בין מגזרים, עם המדינה שלנו ועם בני הברית שלנו, נוכל למנף את הטכנולוגיה שמפותחת כדי להגן על המדינה שלנו. כי מדינות אחרות ישתמשו בסייבר כאלמנט של עוצמה לאומית, ואנחנו צריכים להתגונן”.


התפרסם בגירסה שונה בגלובס

עוד בנושא:

היידישע מאמע עינה פקוחה

ו…הופ! הפרטיות שלכם נעלמה

🗳️ מפלגת העבודה שומרת פרטי חברים שעזבו, לא מוחקת גם כאלו שהתפקדו למפלגות אחרות

אנשים שהיו חברים במפלגת העבודה ועזבו אותה, חלקם בעקבות התפקדות למפלגות אחרות, לא נמחקו ממאגר המידע של המפלגה. כך עולה מבדיקה משותפת של רן בר זיק מהבלוג “אינטרנט ישראל” ושלי. הבדיקה נעשתה בהמשך לחשיפה כאן על פירצת הפרטיות בכלי לבדיקת חברות במפלגת העבודה, שמאפשרת הורדת עותק של מאגר המידע המלא של חברי המפלגה. כעת מתברר שהמאגר הזה מכיל מידע גם על חברים לשעבר.

הכלי המקוון, שמפלגת העבודה הפנתה אליו מאתרה הרשמי, אמור היה לאפשר לגולשים לברר אם הם יכולים להצביע בפריימריז למפלגה, שהתקיימו אתמול (ג’). אולם בגלל רשלנות בבנייתו, הוא איפשר לכל גולש לבדוק עבור כל מספר תעודת זהות אם בעליו הוא חבר המפלגה, ואם כן, מה שמו המלא, מה מינו (עבור חלק מהחברים) והאם הסדיר את התשלומים למפלגה עבור שנת 2017.

האתר הכיל מבחן אני-לא-רובוט (reCAPTCHA) כהגנה מפני קציר המוני של הנתונים על ידי בוטים, אולם המתכנת תומר כהן גילה כי ההגנה הזאת פעילה רק עבור גירסת הווב של כלי הבדיקה, וכי ניתן לעקוף אותה בשיגור שאילתה ישירה לבסיס הנתונים. בשיטה זו ניתן לשלוח שאילתות בצורה שיטתית – במספרים עוקבים, לפי אלגוריתם תעודות זהות (שמונה ספרות וחישוב ספרת ביקורת) או לפי מאגר מספרי תעודות זהות מאחת מגירסאות מרשם האוכלוסין שדלפו לרשת לאורך השנים (רשומון) – וכך להוריד למחשב את המאגר המלא של חברי מפלגת העבודה.

המתכנת רן בר זיק, שכתב פוסט טכני על הפירצה, בדק אותה בין השאר על ידי שאילתה עם המסת”ז שלו עצמו, וקיבל מבסיס הנתונים את שמו ומחרוזת מסויימת, אשר לפי בדיקתנו מצביעה על כך שבר זיק הוא חבר מפלגה. בר זיק שלח שאילתה עם המסת”ז של חברו אסף, וקיבל בחזרה תשובה דומה – את שמו המלא של אסף (שהתבקשנו לא לפרסם) ומחרוזת אחרת. אלא שבעוד בר זיק הוא חבר במפלגת העבודה, אסף הוא חבר לשעבר: “כתבתי להם מפורשות [שאני עוזב] וגם הפסקתי לשלם”.

ביקשנו מאנשים נוספים שעזבו את המפלגה רשות לבדוק את הת”ז שלהם בשאילתה ישירה מול בסיס הנתונים, וברוב המקרים קיבלנו את שמותיהם המלאים ומחרוזת זהה לזו של אסף, שמבדיקתנו עולה שהיא מעידה שהם חברים לשעבר במפלגה.

כלי בדיקת חברות במפלגת העבודה באתר haavoda.com

כלי בדיקת חברות במפלגת העבודה באתר haavoda.com

משמעות הדבר היא שמפלגת העבודה, במקום למחוק מהמאגר חברים שעזבו אותה, שומרת את שמותיהם המלאים ותעודות הזהות שלהם במאגר מידע שמשמש לבדיקת זכאות להצבעה בפריימריז, ושהמאגר הזה עדיין מקוון כשפעורה בו פירצת פרטיות, שעות אחרי שחשפנו אותה ואחרי שהסיבוב הראשון בבחירות המקדימות כבר הסתיים, ויש חמישה ימים עד הסיבוב השני, שבהם ניתן להוריד את המערכת הפרוצה מאוויר האינטרנט, לתקנה ולהחזירה. כלומר, מפלגת העבודה מסכנת לא רק את הפרטיות של חבריה, אלא גם של חבריה לשעבר, גם אחרי שהתבקשה להגיב על כך (וטרם הגיבה) וגם אחרי שהפירצה דווחה בפומבי.

בנוסף, כשבדקנו את המסת”זים של החברים לשעבר בכלי הבדיקה שבאתר – הדרך שבה המפלגה התכוונה שאנשים ישתמשו בו – התקבלה ההודעה “אינך כלול בספר הבוחרים”. כלומר, למשתמש הרגיל, שלא יודע איך לשלוח שאילתה ישירות לבסיס הנתונים, אין דרך לדעת שלמעשה הוא *כן* כלול בספר הבוחרים, אולם בסטטוס נסתר של חבר מפלגה לשעבר. כלומר, נפגעי הרשלנות של מפלגת העבודה אפילו לא יכלו לדעת עליה, משום שכלי הבדיקה הציג להם הודעה מטעה.

כפי שציינתי בפוסט על פירצת הפרטיות, מאגר מידע שמכיל מידע על חברות של אנשים במפלגה מחוייב בהגנות מיוחדות לפי חוק הגנת הפרטיות. עו”ד יהונתן מהתנועה לזכויות דיגיטליות הסביר שם כי הנגשת המידע הזה לציבור הרחב היא עבירה על חוק הגנת הפרטיות, שעשויה להביא לענישה פלילית של 5 שנות מאסר ופיצויים אזרחיים של עד 50 אלף שקל ללא הוכחת נזק.

הודעת "אינך כלול בספר הבוחרים" בכלי בדיקת חברות במפלגת העבודה באתר haavoda.com

“אינך כלול בספר הבוחרים” בכלי בדיקת חברות במפלגת העבודה

“צר לי שהפרטיים האישיים שלי גלויים לכל. ובנוסף שהם נסחרים מיד ליד. זו אחת הסיבות בגללם הפסקתי את חברותי”, הגיב אסף לגילוי שפרטיו לא נמחקו ממאגר מפלגת העבודה. “קיבלתי אימיילים ומסרונים בלי סוף […] גם בשנים לאחר מכן. לא משנה כמה השבתי וביקשתי להסיר אותי מהמאגר. חשבתי בתום לב שסוף סוף הסירו אותי לפי בקשתי”.

“אני התפקדתי [למפלגת העבודה] אחרי המחאה החברתית”, סיפרה ליאת זנד. “חשבתי שחשוב להתפקד למפלגה גדולה ולנסות להשפיע. לא ידעתי עוד לאן זה ידרדר. השתתפתי פעם אחת בבחירות לפריימריז, האחרונות שהיו, וביטלתי לפני כשנה לדעתי את החברות שלי. פניתי אליהם דרך האתר, הם חזרו אלי, ביקשתי לבטל ולא שלחו לי שום דבר בפריימריז האלה, ירדתי מהרשימות שלהם. […] מאחר וחוץ מאראל מרגלית לא קיבלתי [סמסים] מאף אחד, וגם אצלו זה היה מאוד מתון, אני מניחה שברשימה שלהם אני לא נמצאת”, אמרה. כשסיפרתי לה שהיא מופיעה בבסיס הנתונים אמרה בהפתעה “לא נכון!” וצחקה.

“התפקדתי ממש לא מזמן כדי להשתתף בפריימריז”, סיפרה קרן גרינבלט. “קיבלתי כמה מכתבים פיזיים ומיילים שמודיעים שמצאו שאני פקודה בליכוד (לא) ובמרצ (לא חידשתי) (כל אחד במייל/מכתב נפרד), ושאם אני רוצה להשלים את ההתפקדות אני צריכה למסור להם הודעה בפקס או במייל על ביטול חברותי במפלגה האחרת. במכתבים האלה היה כתוב שאם לא אגיב הם יראו את זה כביטול התפקדות. כל זה לא הפריע להם לשלוח עשרות הודעות בחירות ולהעביר את המספר שלי למועמדים למרות שלכאורה ההתפקדות שלי לא הושלמה. השבתי להם במייל שלאור ריבוי ההודעות למרות שהורדתי את הסימון מקבלת מיילים ועדכונים במהלך תהליך ההתפקדות, החלטתי שאני מבטלת את התפקדותי, מבקשת למחוק את המספר שלי מכל המאגרים שלהם ושל המועמדים ומבקשת אישור על כך בכתב”. בינתיים התפקדה גרינבלט למפלגה אחרת, והפסיקה לקבל ספאם רק בעקבות פנייה רביעית, שמוענה ללשכת המזכ”ל. קשה לומר שהיא הופתעה כשסיפרנו לה שפרטיה ממשיכים להופיע במאגר המפלגה.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

“הייתי [חברת מפלגת העבודה] שנה שעברה. השנה התפקדתי למרצ ולא חידשתי אצלם. הסמסים והטלפונים כמובן ממשיכים להגיע”, מספרת הילה, שביקשה לא לפרסם את שמה המלא, ששמור אצלנו. “אני לא מבינה איך מפלגה מרשה לעצמה להתנהל ככה. הבחירה שלי להתפקד למפלגה – או לא להתפקד אליה – היא אישית, ולא נעים לי שבני משפחה, חברים או אנשים מהעבודה יכולים לדעת לאיפה התפקדתי. הם מנסים להרחיק אנשים ממעורבות פוליטית? בשנת 2017 שמירה על הפרטיות היא אחת החובות הבסיסיות של כל גוף פוליטי”.

“עזבתי רשמית, והתפקדתי למרצ. נמאס לי מהספאם וידעתי שאני לא מצביעה להם אלא למרצ, אז ניסיתי לתמוך שם באנשים שרציתי לקדם. למרצ יש את הבעיות שלה, אבל לפחות אין טונות של ספאם”, סיפרה מ’, שביקשה ששמה (ששמור אצלנו) לא יפורסם. על אי מחיקת פרטיה מהמאגר אמרה: “זאת הפרה בוטה ומעליבה של הפרטיות שלי. אם מאז שביטלתי את חברותי חשבתי כמה פעמים לחזור, עכשיו כבר אין סיכוי שאעשה זאת”.

“אני חושבת שמספר התלונות והסבל שמפלגת העבודה גרמה, מצביעים על הניתוק שלה מהבוחרים וממי שהמציאות והפוליטיקה חשובות להם, אבל לא חיים בתוך המנגנונים המפלגתיים. האופן שבו התנהלו עם מספרי הטלפון של מתפקדות/ים, הן המפלגה והן מטות המועמדים, הוא חוסר כבוד ואטימות, והדבר קורה בכל סיבוב פריימריז מחדש”, אמרה גרינבלט. “אם המפלגה רוצה להמציא עצמה מחדש, כדאי לה להתחיל להקשיב לבוחרות הפוטנציאליות”.

“הפסקתי את חברותי כדי לעבור למפלגה אחרת. כולל הפסקת תשלום”, סיפרה מיכל לזובסקי, היחידה מהמרואיינים שלא כעסה על הגילוי. “תכלס, עד שלא כתבת על זה לא ידעתי ותכלס, זה לא ממש מזיז לי. האם עלי להיבדק אצל רופא בגלל זה? כאילו אני בפייסבוק וגוגל. אז מפלגת העבודה תפיל אותי?”

ממפלגת העבודה טרם נמסרה תגובה.

רוצים לברר אם מישהו חבר מפלגת העבודה? תנו מס’ ת”ז שלו ואתר המפלגה יגלה לכם, או שתורידו לכם את המאגר במלואו

מפלגת העבודה עורכת היום בחירות מקדימות לבחירת יושב ראש. המפלגה מספקת כלי מקוון שמאפשר למצביעים הפוטנציאליים לבדוק אם הם רשומים במפלגה ואם הסדירו את התשלומים לשנת 2017. אולם בכלי יש פירצת פרטיות, משום שהוא מאפשר לכל גולש לברר חברות במפלגה באמצעות מספר תעודת זהות של כל אדם, וכן הורדת רשימת המתפקדים במלואה באמצעות סקריפט. הגילוי התגלגל מדיווח ראשוני של הגולשת אורה פלד נקש.

בדף הבית של האתר הרשמי של המפלגה מופיעה אחרי הקיפול הפניה בלבן על רקע כחול כהה: “בדיקת זכאות הצבעה בבחירות ליו”ר מפלגת העבודה ומועמדה לראשות הממשלה”, שמלונקקת לכתובת https://www.haavoda.com/Member/Registrations?e=eyor. תחת הכותרת “בדיקת זכאות הצבעה בבחירות לתפקיד יו”ר העבודה” והשורה “רשאים להצביע חברי/ות מפלגת העבודה המופיעים בספר הבוחרים”, מתבקשים הגולשים להזין מסת”ז כולל ספרת ביקורת, ולעבור בדיקת אני-לא-רובוט (reCAPTCHA) [* ראו עדכון בהמשך].

כלי בדיקת אישור חברות במפלגת העבודה באתר haavoda.com

כלי בדיקת אישור חברות במפלגת העבודה באתר haavoda.com

מסת”ז של מי שאינו חבר מפלגת העבודה יחזיר את התשובה “אינך כלול בספר הבוחרים”. חברי מפלגה שהזינו את המסת”ז לבקשתי קיבלו הודעה שמאשרת שהם חברים, כולל שמם המלא ובחלק מהמקרים התייחסות שהעידה על מינם (“. משמעות הדבר היא שאפשר להזין מסת”זים בלי לדעת של מי הם (ואפילו מספרים אקראיים, תוך שימוש באלגוריתם לחישוב ספרת הביקורת), ולקבל עבור אלו מהם ששייכים לחברי מפלגת העבודה את השם המלא והמין (במפלגת העבודה רשומים כיום כ-58 אלף חברים בעלי זכות בחירה).

אישור חברות במפלגת העבודה באתר haavoda.com

אישור חברות במפלגת העבודה באתר haavoda.com

בדיקת שני מסת”זים מפוברקים שעומדים באלגוריתם ספרת הביקורת העלתה שהם הוזנו למערכת לבדיקות בתור חברי מפלגה בשם “בדיקה טסט” ו”בדיקת התפקדות” (“הנך חבר/ה, אך טרם הסדרת את תשלום דמי החבר לשנת 2017”).

עוד בעיה בכלי הבדיקה היא הקשר הלא-ברור שלו למפלגת העבודה. בעוד הדומיין של האתר הרשמי של המפלגה הוא havoda.org.il, כלי הבדיקה נמצא בדומיין אחר, haavoda.com. בדף הראשי של האתר יש איור של מפה ולוגו של מפלגת העבודה, שכל אחד יכול להשיג ולשים באתר שלו, ושדה לוגין, אבל אין שום דרך ליצור קשר עם בעלי האתר. בעוד רישום הדומיין (WHOIS) של האתר הרשמי של המפלגה מעלה שהוא רשום על שם המפלגה ויש בו פרטי התקשרות מלאים שלה, מי שרשם את הדומיין של כלי הבדיקה עשה זאת דרך שירות בשם Domains By Proxy, שנועד להסתיר את פרטי בעל הדומיין, ומספק פרטי התקשרות של חברת דומיינז ביי פרוקסי בסקוטסדייל, אריזונה, ואת כתובת האימייל haavoda.com@domainsbyproxy.com.

למעשה, הקשר היחיד הנראה לעין בין האתר הרשמי של מפלגת העבודה לבין אתר כלי הבדיקה הוא הלינק שהראשון נותן אל השני. לגולשים שהגיעו לכלי הבדיקה מלינק ישיר שקיבלו מחבר או דרך גוגל, אין דרך לוודא שמדובר באתר אותנטי של מפלגת העבודה ולא באתר מתחזה או זדוני.

פח אשפה ציבורי עם הכיתוב "ביחרו בי", תל אביב. תמונה: עידו קינן, חדר 404

“ביחרו בי”. תמונה: עידו קינן, חדר 404

לפי חוק הגנת הפרטיות, מידע על דעותיו של אדם – והדבר כולל חברות במפלגה, שמעידה על דעה פוליטיות – מוגדר “מידע רגיש”. מאגר שיש בו מידע כזה חייב להיות רשום אצל רשם מאגרי המידע, אסור להשתמש במידע הזה שלא למטרה שלשמה הוכנס למאגר, ובעל המאגר, מחזיק המאגר ומנהל המאגר, “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”.

“העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם”, מסביר עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות ובעברו מתמודד במפלגת העבודה. “הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 ש”ח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו”.

כדי למנוע פירצת פרטיות כזאת, שמהווה פוטנציאל לפגיעה בפרטיות חברי המפלגה, צריך היה להוסיף פקטור אימות לפני הבדיקה – למשל, מספר טלפון סלולרי, שאליו היתה נשלחת התשובה.

הגנת הפרטיות היחידה שהצלחתי למצוא באתר, למעט התקשורת המאובטחת (HTTPS) שאמורה להיות מובנת מאליה, היא מבחן האני-לא-רובוט, שמחייב אשרור ידני בכל בדיקה בנפרד ומונע קצירה המונית של פרטי חברי מפלגה.

[עדכון 16:47]

תומר כהן דיווח שהצליח לבצע שאילתות מול כלי הבדיקה תוך עקיפת בדיקת האני-לא-רובוט, כך שאפשר לכתוב סקריפט שיקצור את כל מאגר מתפקדי מפלגת העבודה – כאמור, כ-58 אלף מתפקדים. רן בר זיק סיפק הסבר טכני ופשוט להבנה בבלוגו “אינטרנט ישראל”.

כאשר אנו מפעילים את ה-reCAPTCHA, אנו נדרשים להטמיע אותה הן בדף שהגולש רואה באמצעות הדפדפן והן בשרת. גם באתר מפלגת העבודה ניתן לראות שיש שימוש ב- recaptcha. המשתמש הרגיל נדרש ללחוץ על אישור שהוא לא רובוט ורק אז לשגר את הפרטים. מה הבעיה? הבעיה היא שה-reCAPTCHA הזה לא מחובר לכלום. כלומר תוקף יכול לשגר את הבקשה לשרת ללא הדפדפן ולקבל תשובה. השרת אינו מוודא שה-reCAPTCHA הופעל בכלל. […] מה שהתוקף צריך לעשות זה לשגר בקשה אל השרת של מפלגת העבודה ולקבל את הפרטים.

[\עדכון]

אבל אי אפשר לצפות להרבה בתחום ההגנה על הפרטיות ממפלגה שח”כיה מספימים את החברים מזה שנים, שהמתמודדים על ראשותה מטרידים את חבריה בספאם סמסים, ושח”כית בה שמנסה לגייס את חברי המפלגה נגד ספאם הסמסים עשתה זאת באמצעות ספאם סמסים.

הודעתי למפלגת העבודה על הבעייתיות בכלי הבדיקה. תגובתה תתפרסם כאן אם תתקבל.

– עדכון אחרון: 17:32


התפרסם גם בקפטן אינטרנט, פולואפ ב”אינטרנט ישראל” של רן בר זיק, צוטט בפלוג של טל שניידר

🚶 בית לנווד דיגיטלי 🚌 צאו מהאוטובוס 🔍 אי אפשר לברוח מגוגל 🎙️ רבע לדיגיטל

רבע לדיגיטל. קליק לארכיון המדור

האמנית זיו שניידר תספר על בתים לאחד ונוודים דיגיטליים שתיעדה בפרוייקט האמנות Watertight • עודד קרמר, מיוצרי “אוטובוס הבריחה” של גוגל, יספר לנו על המיזם • וגם: המשתתפים באוטובוס הבריחה מבינים שאי אפשר לברוח מגוגל

האמנית זיו שניידר הציגה בפסטיבל פרינט סקרין את הפרוייקט Watertight. בשיחה עם העורכת אחינעם קפון סיפרה: “הפרוייקט שאני מציגה זו סדרת פורטרטים של דירות יחיד בניו יורק. אני עושה ביקורי בית וסורקת האינדיבידואל בסביבה שלו בסריקה תלת-ממדית, וזה מוצג בדגם תלת-ממד בצנצנות מים. עניין אותי הסוג הזה של מחייה והשינוי במגורים. אנשים שחיים לבד זה משהו שבעיקר קיים בחמישים השנים האחרונות, פחות היה קיים בהיסטוריה האנושית, יש כל מיני צורות מחייה שנוצרות כדי להיות פיתרון לזה. יש גם נזילוּת שנדרשת מבנאדם שגר לבד. זה הרקע הפילוסופי. ואז מבחינת טכנולוגיה יש את האספקטים שהם לא מציאותיים, התוכנה יוצרת אותם. זה נראה מאוד אורגני, אבל זה בעצם תוצר של האלגוריתמים של התוכנת סריקה. אני מצלמת בחיישן – האנשים עומדים ולא זזים ואני פשוט מטיילת בחדר עם החיישן. זה לא פנימה החוצה כמו 360, אלא לעבור בכל הפינות. אחרי שאת סורקת זה לא באמת תופס באופן מושלם, מראות והשתקפויות, ואז יש חורים. אז יש בתוכנה פונקציה של לסגור את המודל. ומה שקורה זה שזה נראה מאוד אורגני וגורם לפורטרט להראות כמו קונכייה. בהתחלה המטרה הייתה לתעד בצורה ריאליסטית, אבל פשוט זרמתי עם התוכנה”.

ישראל כ”ץ הביע עניין?

בשנה שעברה, גוגל צרפת הפעילה חדר בריחה (אסקייפ רום) שכדי לפתור את החידות בו צריך להשתמש בשירותים ומוצרים של גוגל. גוגל ישראל יצרה חוויה דומה, אבל באוטובוס בריחה, שנסע ברחבי ישראל. עודד קרמר, אחד מיוצריו, סיפר לנו על הקשיים והאתגרים בעבודה.

אוטובוס הבריחה של גוגל ישראל. צילום: עידו קינן, חדר 404

אוטובוס הבריחה של גוגל ישראל. צילום: עידו קינן

לבריחה מגוגל חפשו בגוגל

ביום חם מאוד הצטרפתי לשלהבת טנור, מור חזן, נופר קרן זיגרון, אורן ויינטראוב ורעות מור בנסיון לצאת מאוטובוס הבריחה של גוגל בתל אביב. לפי ההודעה לעיתונות, “פיצוח אתגר הבריחה מבוסס על פתרון חידות המתאפשר בעזרת שימוש באחת מחמש האפליקציות החינמיות של גוגל: תרגום, תמונות, מפות, חיפוש ודרייב”. אבל חברי הקבוצה, שפיצחו את האתגר בכמחצית הזמן שהוקצבה להם, הבינו שגוגל לא באמת צריכה לפרסם את שירותיה.

משתתפים באוטובוס הבריחה של גוגל ישראל. צילום: עידו קינן, חדר 404

משתתפים באוטובוס הבריחה של גוגל ישראל. צילום: עידו קינן

ההשתתפות באתגר הבריחה מהאוטובוס הצריך חיטוט בפרטים אישיים של הדמויות מהעלילה שנכתבה עבורו, פרטים שנשמרו בשירותים השונים של גוגל. החיטוט הזה הזכיר למשתתפים שגוגל יודעת ושומרת עלינו המון מידע, ושלברוח מהאוטובוס של גוגל זו מטאפורה לבריחה מהשליטה של גוגל, ושל תאגידי הטכנומידע האחרים, על חיינו ועל פרטיותנו.


עורכת: אחינעם קפון; מגיש: עידו קינן; תוכנית זו משודרת ב-27.6.2017. רבע לדיגיטל משודרת מדי שלישי ב-18:45 בגלצ. ארכיון רבע לדיגיטל; רסס רבע לדיגיטל; פניות לתוכנית: reva@room404.net

📩 גוגל לא תפסיק לסרוק את המיילים שלנו אבל תפסיק לבסס עליהם פרסומות 🚧 יוזמות נגד טוויטריסטים חוסמים 🎙️ האחראי על האינטרנט

הקליקו לארכיון האחראי על האינטרנט

האימיילים שלנו משעממים את גוגל

גוגל הודיעה אתמול (ו’) שהיא תפסיק לסרוק את תוכן האימיילים של 1.2 מיליארד משתמשי ג’ימייל לשם התאמת פרסומות המוצגות להם.

ב-1 באפריל 2004 השיקה גוגל את שירות האימייל שלה, ג’ימייל, בנפח חסר תקדים אז של גיגהבייט אחד, ובלי תשלום כספי. המודל העסקי של השירות התבסס על פרסום שהוצג בזמן השימוש בתיבה (לא בהודעות אימייל), והותאם למשתמשים על ידי סריקת התכתובות שלהם ומציאת המוצרים והשירותים שמתאימים להם. בסריקה הזאת, אף שהיא לא מתבצעת על ידי בני אנוש אלא על ידי בוטים, יש פוטנציאל לפגיעה בפרטיות המשתמשים – המידע לא משמש לפרסום נקודתי ואז נמחק, אלא נשמר, מנותח ומשמש, לצד מידע שנצבר משירותים ומוצרים אחרים של גוגל, לבניית פרופיל מקיף על המשתמשים.

גוגל סרקה אימיילים גם בשירות “גוגל אַפְּס לחינוך” (Google Apps for Education), שסיפקה בלי תשלום כספי לגנים, בתי ספר ואוניברסיטאות מאז 2006. החברה לא הציגה מודעות באפליקציות שיועדו למערכת החינוך, אבל אספה מידע שיכול היה לשמש אותה להציג פרסומות לאותם משתמשים במקומות אחרים.

עוגיות ג'ימייל. צילום: Anne Petersen, cc-by-nc-nd

עוגיות ג’ימייל. תמונה: Anne Petersen, cc-by-nc-nd

מספר תביעות הוגשו נגד גוגל על סריקת האימיילים. אחת מהן כללה בקשה (שנדחתה) לתביעה ייצוגית, דאנבר נגד גוגל, שהוגשה על ידי משתמשי ג’ימייל ישירים, משתמשים עקיפים בעל כורחם (סטודנטים שהכתובת האקדמית שלהם הועברה לגוגל אפס לחינוך) ואנשים שאינם משתמשי השירות. נגד המשתמשים אפשר לטעון שהם הסכימו לסריקה בתנאי השימוש, ויכולים להימנע ממנה על ידי הימנעות משימוש בשירות; אולם האנשים שאינם משתמשי ג’ימייל טוענים שהתכתבויות שלהם עם משתמשי ג’ימייל נקראו על ידי גוגל, מבלי שהם הביעו את הסכמתם לכך.

גוגל הגישה בקשה לסילוק התביעה, בטענה ש”בדיוק כמו ששולחו של מכתב לעמית מעולם העסקים לא יכול לצפות שהמכתב לא ייפתח בידי העוזר של אותו אדם, אנשים שמשתמשים בשירות אימייל מבוסס רשת לא יכולים להיות מופתעים אם האימיילים מטופלים בידי הספק [של שירות האימייל] במהלך המשלוח”. כלומר, גוגל השוותה את עצמה לא לספק שירות, כמו רשות דואר, אלא לעוזר אישי של הנמען. השופטת דחתה טענה זו.

ב-2013 הגישה עמותת “הצלחה” תלונה דומה ליועץ המשפטי לממשלה, לרמו”ט (רשות משפט וטכנולוגיה במשרד המשפטים) ולממונה על הגנת הצרכן. משרד היועמ”ש העביר את התלונה לפרקליטות המדינה, ואחרי יותר מחצי שנה היא העבירה אותה לראש אגף חקירות ומודיעין במשטרה. מהמשטרה נמסר אז כי “הנושא […] מוכר ומצוי בבחינת הגורמים המקצועיים”.

נסיגה בשלבים

בעקבות הלחץ הציבורי והתביעות, גוגל הודיעה (📁) באפריל 2014 שהיא מפסיקה לצמיתות לסרוק אימיילים עבור מודעות בג’ימייל בשירות גוגל אפס לחינוך, ושלא תאסוף או תשתמש במידע על תלמידים מאפליקציות לחינוך למטרות פרסום.

בשירות העסקי בתשלום שהציעה החברה, שבעבר נקרא גוגל אַפְּס (Google Apps) והיום G Suite, היא לא סרקה אימיילים, מאחר שעסקים היו ככל הנראה מסרבים לשלם ולהשתמש בשירות שמסכן את סודותיהם המקצועיים – למשל, עסק שמתכתב באימייל על הצעה עסקית סודית, או עו”ד שמתכתב באימייל עם לקוח שלו ומצפה לחסיון. כעת הודיעה החברה שהיא מיישרת קו בין ג’י-סוט לבין ג’ימייל, ומפסיקה לסרוק גם את האימיילים של משתמשי הגירסה החינמית לציבור הרחב.

דאיין גרין, סגנית נשיא בגוגל שאחראית על גוגל קלאוד, כתבה בבלוג החברה: “ג’י-סוט כבר עכשיו לא משמשת כקלט לפרסונליזציה של מודעות, וגוגל החליטה שבהמשך השנה שירות ג’ימייל החינמי לצרכנים ילך בעקבותיה. תוכן ג’ימייל לצרכנים לא ישיש או ייסרק לכל פרסונליזציה של מודעות אחרי השינוי הזה. עם החלטה הזאת, מודעות ג’ימייל מיישרות קו עם הדרך שבה אנחנו מבצעים פרסונליזציה של מודעות במוצרי גוגל אחרים. מודעות מוצגות בהתבסס על הגדרות המשתמשים. משתמשים יכולים לשנות הגדרות אלו בכל זמן, כולל לבטל את הפרסונליזציה של מודעות”.

אבל גוגל תמשיך לסרוק את האימיילים של משתמשי ג’ימייל לצרכים שונים, ובהם סינון ספאם, הונאות ו-וירוסים, מיון הודעות האימייל לקטגוריות שונות בתיבה, סינכרון עם לוח שנה (הוספה אוטומטית לקלנדר של אירועים שהתקבל אימייל עליהם), הצגת מידע נוסף (הודעה על איחור בטיסה לפי מספר שהופיע באימייל מחברת התעופה), ושירות חדש בשם “תשובה חכמה” (Smart Reply), שבו ג’ימייל משתמש ברשת עצבים מלאכותית לנתח את תוכן האימייל ולהציע למשתמשים מספר תשובות קצרות אפשריות, במקום שהם יצטרכו להקליד אחת בעצמם. מי שלארוצים שגוגל תקרא את האימיילים שלהם יצטרכו להצפין את האימיילים היוצאים ולדאוג שכל נמעניהם יצפינו את האימיילים לפני שהם נשלחים – או להימנע מלהשתמש בג’ימייל.

נפתחה החסימה בטוויטר

נשיא ארה”ב (וזו לא בדיחה של ג’ון אוליבר) דונלד טראמפ פעיל מאוד בטוויטר, אבל חוסם חלק מהגולשים, שלא יכולים לקרוא את הציוצים שלו בלי להשתמש במעקפים, מה שהביא את מכון התיקון הראשון נייט לפנות לנשיא ולטעון שמדובר בפגיעה בחופש הביטוי, משום שמדובר ב”פורום ציבורי ייעודי”, שככזה אסור שיהיה סגור לגישה ציבורית לפי התיקון הראשון לחוקה האמריקאית.

אצלנו, פוליטיקאים חוסמים גולשים בפייסבוק ובטוויטר, ומבקר המדינה מתח ביקורת על כך. לפי דיווח של תומר אביטל ב”100 ימים של שקיפות”, שדיווח באפריל כי

בימים אלו בוחנים במשרד המבקר לשלב את עמדתו העקרונית בדוח השנתי הקרוב של נציב תלונות הציבור. בעוד שחסימות בדף האישי של אנשי ציבור יכול להיות מוצדק, המבקר מוטרד מחסימות שרירותיות בדפיהם הציבוריים שאף ממומנים על ידי הציבור. המשך הבדיקה נמשך במשרד המבקר כדי להמליץ לחברי הכנסת על קביעת כללים ברורים ושקופים טרם חסימת אזרחים.

הציפורים גירסת טוויטר. תמונה: Pete Simon, cc-by

הציפורים גירסת טוויטר. תמונה: Pete Simon, cc-by

בינתיים, אורי קול, יו”ר תנועת “מחזקים”, יצר באמצעות יזם מסתורי את Tweet grabber, פרופיל טוויטר וtweetgrabber.com שמצלמסך ומפרסם מחדש ציוצים של פוליטיקאים, עיתונאים ופעילי רשת עבור אנשים שחסומים מלקרוא אותם. “יש כמה חוסמים ידועים בטוויטר הישראלי – עמית סגל (במיוחד כשמזכירים את אבא שלו), אבישי עברי (אם מגיבים יותר מדי), ינון מגל וחגי סגל וכו’ וכו'”, אמר לי קול. “אז האתר בעצם מצלמסך את הציוצים ומעלה דרך בוט לכאן. יש גם אתר והוא מסודר לפי תגיות. האתר מרים רק חוסמים מהימין, אבל קיבלנו פניות להרים גם חוסמות מהשמאל כמו שלי יחימוביץ'”.

למה רק מהימין בעצם?
“כי הם אלה שחסמו אותי”.

בנוסף, אלמונים (שקול אומר שאינו קשור אליהם) הקימו פרופילי-ראי למספר טוויטריסטים חוסמים – למשל, “עמית סגל לחסומים” “בקי גריפין לחסומים” ו”שמעון ריקלין לחסומים” – ומשכפלים כל ציוץ שלהם.


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

💣 פייסבוק חשפה לתומכי טרור שמות של מסנני התוכן שחסמו אותם 🗺️ כוחם של תאגידי הטכנומידע 🔊 האחראי על האינטרנט בגלצ

הקליקו לארכיון האחראי על האינטרנט

הטרור מושיט יד

מסנני תכני טרור בפייסבוק החלו לקבל הצעות חברות ברשת החברתית מאנשים שמקושרים לארגוני הטרור שבהם הם עוסקים. הבקשות הללו העלו חשד לפירצת אבטחה, וכזו אכן התגלתה בנובמבר 2016 – הפרופילים האישיים של מסנני תכנים שסגרו קבוצות וחסמו מפעילי קבוצות הופיעו אוטומטית באזור ההודעות (נוטיפיקציות) של הקבוצות, ושאר מנהלי הקבוצה יכלו לראותם. הפירצה גרמה לחשיפה פוטנציאלית של פרטי 1000 מסנני תכנים, כשבהם 40 מסנני תכני הטרור – מתוכם שישה מסנני טרור שפייסבוק קבעה שהם קורבנות ב”עדיפות גבוהה” של התקלה, מאחר שהפרופילים שלהם ככל הנראה נצפו על ידי טרוריסטים פוטנציאליים.

הגרדיאן, שחשף את הפרשה, שוחח עם אחד מהשישה, עירקי בשנות העשרים המוקדמות לחייו שביקש ששמו לא יפורסם מחשש לחייו. הוא הגיע לאירלנד בילדותו עם משפחתו כמבקש מקלט, והתאזרח שם. הוא נשכר לעבודה בסינון תכני הטרור בזכות ידיעת הערבית שלו, ומקבל 13 פאונד (כ-58 שקל) לשעה. לדבריו, פרופילים של מסנני טרור מבין השישה בסיכון הגבוה נצפו על ידי חשבונות המקושרים לדאעש, חזבאללה ומפלגת הפועלים של כורדיסטאן (PKK). גם שלו – במסגרת העבודה הוא חסם ארגון טרור המבוסס במצרים ותומך בחמאס, ושבין חבריו אנשים המזדהים עם דאעש. שבעה אנשים המקושרים לאותו ארגון צפו בפרופיל האישי שלו. בעקבות זאת ברח מאירלנד והסתתר במשך חמישה חודשים במזרח אירופה מחשש לפעולת נקמה. “נהיה מסוכן מדי להישאר בדבלין”, אמר לגרדיאן. הוא חזר רק כשכספו אזל, וכעת הוא מובטל, בחרדה ונוטל תרופות נגד דכאון.

מנכ"ל ומייסד פייסבוק מארק זאקרברג. תמונה:JD Lasica (cc-by-nc)

נראה שפייסבוק לא לקחה ברצינות הראויה את הסיכון לחייהם של ששת המסננים. היא הציעה להתקין מערכות אזעקה וניטור בבתיהם, הסעות הלוך וחזור לעבודה וייעוץ דרך תוכנית הסיוע של עובדי פייסבוק, מעבר לייעוץ הרגיל שהם מקבלים כעובדי Cpl Recruitment, חברת הקבלן שדרכה מועסקים מסנני התכנים. העובד ששוחח עם הגרדיאן תובע את פייסבוק ואת חברת הקבלן על הנזק הפסיכולוגי שהדליפה גרמה לו.

פירצת הפרטיות נפתרה רק שבועיים לאחר שהתגלתה, ובסך הכל היתה פעורה במשך חודש, וחשפה פרטי מסננים אחורה עד אוגוסט 2016 לפחות. חלק מהבעיה נובע מכך שהמסננים נדרשו לבצע את עבודתם כשהם מלוגנים לפרופיל האישי שלהם, במקום לפרופיל ניהול שאינו מקושר לפרטיהם האישיים. פייסבוק מסרה לגרדיאן שבעקבות הדליפה היא תבחן מעבר לפרופילי ניהול.

החברה מסרה לגרדיאן כי “החקירה שלנו העלתה שכנראה רק שבריר מהשמות נצפו, ולא היתה לנו ראיה לכל איום על האנשים שהושפעו מכך או בני משפחותיהם כתוצאה מהמקרה”.

עוד בנושא:

🚧 “מסמכי פייסבוק”: הגרדיאן חושף את מדיניות הסינון של הרשת החברתית

👿 כללי פייסבוק לגבי איומי טרור, שיח שנאה, גזענות והכחשת שואה

חנות קטנה ומטריפה

אמזון רכשה את רשת המרכולים הול פודז, והזכירה לנו את כוחם המתעצם של תאגידי הטכנומידע הגלובליים. זה נובע לא רק מגודלם, מערימות הכסף שלהם ומהשתדלנות שהם מפעילים, אלא גם מהמונופול שלהם על מידע.

נודע לי, למשל, שחברת הניווט ווייז של גוגל מספקת מידע למשרד התחבורה על תנועת רכבים, לצורך תכנון כבישים, תחבורה ציבורית ושאטלים. מנהל הפעילות העסקית של איביי בישראל, אלעד גולדנברג, סיפר באחרונה במסיבת עיתונאים כי החברה מספקת למשרד הכלכלה מידע על רכישות מוצרי יסוד בידי ישראלים, כדי שזה יוכל להבין את השינויים בשוק ולהתאים, בין השאר, את תעריפי המכס לייבוא אישי ומסחרי של מוצרים כאלו.

המידע שיש בידי ווייז ואיביי – מידע אמיתי, לא מדגמים, סטטיסטיקות או הערכות – לא זמין לממשלות ממקורות אחרים, וכדי להפיקו בעצמן הן יצטרכו להשקיע משאבים עצומים. הדבר נותן כוח רב בידי תאגידי הטכנומידע, לא רק מול הגופים הממלכתיים אלא גם מול פוליטיקאים.


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

לדף הבא →