📧 אם אתם צריכים כ-2300 אימיילים של הורי חניכי בני עקיבא, התנועה דאגה לכם

כששולחים אימייל בתפוצה המונית, ובפרט כשהנמענים לא בהכרח מכירים או קשורים זה לזה, מזינים את הכתובות בשדה ה-BCC, כדי לשמור על פרטיות הנמענים וכתובותיהם. בבני עקיבא לא עשו את זה, וחשפו כך לפחות 2300 כתובות אימייל של הורי חניכים בהודעה ששלחו אמש (ג’). בתנועה אמרו שטעות אנוש הביאה לחריגה מהנוהל, שמכתיב שליחה שאינה חושפת פרטים.

ההודעה, “הזמנה לערב הורים מחנה מעפילים‎”, נשלחה מ”מחלקת מפעלים” בכתובת mifalim@bna.org.il. ההודעה מכילה הזמנה ופרטים על “מחנה מעפילים”, שבו “ילדכם חוו עליה מהגולה לעבר ארץ ישראל” וכעת “הגענו לארץ ואנו עסוקים בבניית יישובי חומה ומגדל”, ופרטי ההתקשרות המשרדיים של השולחת ממזכירות מחלקת מפעלים. ההודעה היתה ממוענת לכ-2300 כתובות שהוזנו בשדה ה-To, כך שהן חשופות לכל הנמענים.

הודעת אימייל מבני עקיבא עם כתובות ב-TO. עיבוד: חדר 404

ההודעה מבני עקיבא. עיבוד: חדר 404

“הייתי בשוק כשראיתי את הכתובות שלי ושל כולם חשופות”, אומר שמעון (שביקש ששמו האמיתי לא יתפרסם), הורה לחניכה בתנועה. “נתתי את המייל כדי לקבל אישור הרשמה והודעות חשובות, לא בשביל שיפיצו אותו בתפוצת נאט”ו. המינימום זה לשלוח עותק מוסתר או להשתמש במערכת דיוור”.

רשימת כתובות האימייל מכילה מידע על בעליהן – שמותיהם, עיסוקיהם (של אלו שהשתמשו באימייל העסקי/לימודי/התנדבותי ולא הפרטי – ברשימה יש, בין השאר, כתובות בדומיינים ממשלתיים gov.il, באתר האגודה להתנדבות [שירות לאומי], במועצה מקומית ובמוסד חינוכי), אפשר להניח שיש להם ילדים, שהילדים הם חניכים בבני עקיבא (מכך אפשר להסיק גם את טווח גילאי ההורים, בקירוב), ושהם על הספקטרום הדתי-לאומי, ואף פרטים מביכים כמו כמה מהם משתמשים בוואלה מייל (188) או יאהו מייל (43!).

כל אחד מהנמענים יכול לאסוף את רשימת האימיילים לשימושיו, או להעביר את ההודעה הלאה, בתום לב ובזדון, ולחשוף את הרשימה לגורמים נוספים, שעלולים לעשות בה שימוש זדוני, מספאם ועד גניבת זהות.

אימייל בני עקיבא. תמונה: BRICK 101 (cc-by-nc). עיבוד: חדר 404

אימייל בני עקיבא. תמונה: BRICK 101 (cc-by-nc). עיבוד: חדר 404

דובר בני עקיבא, שאול עופר, מסר בתגובה: “היום בבוקר החלה בתנועת בני עקיבא פעילות מחנות הקיץ שתימשך כשלושה שבועות בהשתתפות עשרות אלפי חניכים. התנועה נמצאת בקשר רציף עם הורי החניכים ומעדכנת אותם באופן עקבי על הפעילות הענפה המתקיימת במהלך השנה, בין היתר באמצעות שליחת מיילים מפורטים מעת לעת. בתנועה קיים נוהל קבוע לשליחת המיילים באמצעות מערכת ניוזלטר מאובטחת כשדרכה נשלחים העדכונים להורים. אתמול, בעקבות טעות אנוש, נשלחה הודעה לכ-2300 הורים שלא באמצעות המערכת על ערבי הורים בפעילות אחד המחנות – שלא באמצעות עותק מוסתר. התנועה מתנצלת על כך ועל כן נשלחה הבוקר הודעת הסבר והתנצלות להורים וחודדו הנהלים אצל כל הגורמים הרלוונטיים על מנת שדבר זה לא יישנה”.

🗳️ “דעה אישית שהפכה לעובדה”; “הוחלט להנחיל שיפורי אבטחה נוספים” 💾 מפלגת העבודה מגיבה על פירצות האבטחה

פירצות אבטחה ופרטיות באתר מפלגת העבודה איפשרו לגלות זהות של חברי מפלגה (וחברי מפלגה לשעבר) באמצעות מספרי תעודת זהות, ולהוריד עותק של הרשימה המלאה על ידי הרצת סקריפט. חשפנו פה את הפירצות בצהרי יום שלישי, יום הפריימריז במפלגה, ורביעי בערב המפלגה חסמה אחת מהן. היום בצהריים הגיעו תגובות.

הרשות למשפט, טכנולוגיה ומידע (רמו”ט) במשרד המשפטים לא נוקטים עמדה, רק אומרים שיבדקו את הטענות:

המידע כפי שהובא בפרסום ייבדק וייבחן על ידי מחלקת הפיקוח ברשות למשפט, טכנולוגיה ומידע. ככלל נציין כי הליכי אכיפה הנערכים על ידי הרשות ותוצאותיהם לא מתפרסמים אלא רק לאחר השלמתם.

תעמולה בפריימריז של מפלגת העבודה בסניף הרצליה. צילום: טל שניידר, הפלוג

פריימריז במפלגת העבודה. תמונה: טל שניידר, הפלוג

תגובת מפלגת העבודה:

האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.

האפשרות לבדיקת זכות הצבעה הינה יכולת שהוטמעה באתר על מנת להקל על חברי המפלגה, לסייע ולהנגיש עבורם מידע בדבר סטטוס חברותם במפלגה. יכולת זו איננה זרה בעולם הטכנולוגי ואתרים רבים אחרים בארץ ובעולם משתמשים בה לטובת הגולשים כמו לדוגמא אתר מפלגת הליכוד ואתר מפלגת הבית היהודי.

לא טענתי זאת. טענתי שיש לאפשר לאליס לבדוק אם יש לה זכות הצבעה, תוך בדיקה שאליס היא אכן זו שמבצעת את הבדיקה על עצמה (למשל, על ידי שליחת התשובה למספר הטלפון הסלולרי של אליס, במקום להציג את התשובה באתר); טענתי גם שאין לאפשר לאליס לבדוק אם לבוב יש זכות הצבעה, משום שבכך היא מקבלת חיווי אם בוב הוא חבר מפלגה, פירצת פרטיות שמהווה פגיעה בפרטיותו של בוב לפי חוק הגנת הפרטיות – פירצה שעדיין לא נחסמה, אגב.

באשר לטענת הגישה למאגר נתוני המתפקדים: המפלגה מבהירה כי בניגוד לאתרי מפלגות אחרות, האתר של מפלגת העבודה הינו אתר מאובטח זאת בניגוד לאתרי המפלגות אחרות אשר אצלם לא שולבו כל אמצעי הגנה כלל, כדוגמת אתרי מפלגות הבית היהודי והליכוד.

ולמה אתה לא מגנה את אבטחת המידע בסוריה. עובדתית, האתר של מפלגת העבודה איפשר להוריד עם סקריפט את מאגר המידע עם רשימת חברי מפלגת העבודה (וחברים לשעבר שעזבו), פירצת אבטחה שמהווה פגיעה בפרטיותם לפי חוק הגנת הפרטיות. בנקודה זו הוא לא היה מאובטח כראוי, אלא האפשרות לשתות את רשימת החברים של המפלגה אינה פירצת אבטחה או פגיעה בפרטיות, וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.

יחד עם זאת ובשל רגישות הנושא מפלגת העבודה התייחסה ברצינות ובכובד ראש לפניית העיתונאי עידו קינן וביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה. [הכתבה הזאת;
ע”ק]

מפלגת העבודה רואה את תהליך הדיגיטציה כתהליך מתבקש בעידן הטכנולוגי הנוכחי ותעשה כל שביכולתה, ולא תחסוך במשאבים,על מנת לשפר את השירות אשר ניתן לחבריה, לעמוד בסטנדרטים המחמירים ביותר של אבטחת מידע ולשמור על מאגרי המידע שלה.

🗳️ מפלגת העבודה חוסמת רק אחת משתי הפירצות באתרה כי למי יש כוח לעבודה

שתי פרצות באתר מפלגת העבודה, שהמתכנת רן בר זיק ואני חשפנו פה השבוע, פגעו בפרטיות כשחשפו פרטים של חברים וחברים לשעבר במפלגה. היום חסמה המפלגה אחת משתי הפירצות, הגדולה מביניהן, אולם השאירה את השנייה פתוחה.

הפירצה הקטנה היא פירצת פרטיות מובנית בכלי המקוון לבדיקת זכות הצבעה בפריימריז של המפלגה. הכלי המקוון איפשר לחברי המפלגה להזין מספר תעודת זהות, לעבור מבחן אני-לא-רובוט (reCAPTCHA), ולקבל חיווי אם הם רשומים כבעלי זכות הצבעה, והחזיר להם את שמם המלא ובחלק מהמקרים את מינם. בהיעדר מנגנון לווידוא זהות הבודק, כל גולש יכול להכניס כל מספר תעודת זהות ולגלות אם בעליו הוא חבר המפלגה. פירצה זו לא נסגרה, כאמור, ועדיין זמינה באתר. המפלגה לא הגיבה לפנייתי בנושא הפירצה.

אישור חברות במפלגת העבודה באתר haavoda.com

אישור חברות במפלגת העבודה באתר haavoda.com

הפירצה הגדולה היא פירצת אבטחה באותו כלי בדיקה מקוון. המתכנת תומר כהן גילה שהוא יכול לעקוף את הממשק הוובי של כלי הבדיקה ולשלוח שאילתה ישירות למאגר הנתונים שאליו הוא מתממשק. השאילתה הזאת לא עוברת דרך מבחן אני-לא-רובוט, ועל כן מאפשרת לכתוב סקריפט שיציף את המערכת בשאילתות כלליות (כל טווח המספרים האפשרי של תעודות הזהות) או ממוקדות (רק מספרים שמתאימים לאלגוריתם של מסת”ז וספרת ביקורת, או רשימת המסת”זים האמיתית מתוכנת רשומון שמכילה עותק דלוף של מרשם האוכלוסין), ולקצור כך את כל מאגר מתפקדי מפלגת העבודה, כ-58 אלף בעלי זכות הצבעה.

בנוסף, בר-זיק גילה שבאמצעות שאילתה ישירה הוא יכול לקבל מידע לא רק על חברי מפלגה, אלא גם על חברי מפלגה לשעבר, שהמפלגה משום מה ממשיכה לשמור את פרטיהם במאגר שלה. המפלגה לא הגיבה על פירצה זו.

שאילתות על חברים לשעבר במפלגת העבודה מול אתר haavoda.com. מחקנו חלק מהפרטים המזהים

שאילתות על חברים לשעבר במפלגת העבודה מול אתר haavoda.com. מחקנו חלק מהפרטים המזהים

הפירצה הגדולה נחסמה, פרסם הערב מפתח התוכנה יונתן ביטון. הוא העלה צילומסך של שאילתה ששלח לאתר, ותשובה שמכילה הודעת שגיאה שלפיה הוא נכשל במבחן האני-לא-רובוט (“invalid captcha”).




בר זיק בדק את התיקון ומדווח: “לאחר שבדקתי מספר מספרי תעודת זהות, וגם ניסיתי לשחזר את הפריצה, אני יכול להעיד שהפירצה סגורה. היא נסגרה על ידי שימוש תקין במנגנון ה-reCAPTCHA, המנגנון שאמור לוודא שמדובר באדם אמיתי מאחורי הבקשה. עכשיו, כאשר מתבצעת קריאה לשרת, נשלח גם פרמטר שיכול להיווצר רק בדפדפן ורק אם המשתמש עבר את הבדיקה של ה-reCAPTCHA. השרת בודק את הפרמטר, מוודא שהוא תקין ורק אז שולח את התוצאה המתאימה. לפיכך הטופס בטוח. נכון, באופן עקרוני אדם יכול להכנס אל האתר ולהכניס מספרי זהות כרצונו, אבל זה כבר לא יהיה סקריפט אוטומטי ולפיכך אי אפשר תוך שעה להוריד את כל מאגר הנתונים של המתפקדים. מוטב היה גם להטמיע מנגנון שבולם יותר מדי קריאות מאותה כתובת IP, אך בתור תיקון חירום, התיקון שלעיל מספיק”.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

לסיכום, יממה או קצת יותר אחרי שהפירצות הובאה לתשומת לבה, מפלגת העבודה סגרה רק אחת מהן. המפלגה טרם מצאה לנכון להגיב לפניותיי העיתונאיות בנושא. איש מהמתמודדים על ראשות המפלגה חובבי ההספמה בסמסים לא התבטא בפומבי, לא לקח אחריות ולא התנצל על מה שעו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות הסביר שיכול להביא לעונש של 5 שנות מאסר ולפיצוי אזרחי של עד 50 אלף שקל ללא הוכחת נזק לכל אדם שפרטיותו נפגעה מהמחדל. הרשות למשפט וטכנולוגיה במשרד המשפטים, הרגולטור לענייני פגיעה בפרטיות, טרם הגיבה לפנייתי בנושא. המאגר הביומטרי לא ידלוף.

🗳️ מפלגת העבודה שומרת פרטי חברים שעזבו, לא מוחקת גם כאלו שהתפקדו למפלגות אחרות

אנשים שהיו חברים במפלגת העבודה ועזבו אותה, חלקם בעקבות התפקדות למפלגות אחרות, לא נמחקו ממאגר המידע של המפלגה. כך עולה מבדיקה משותפת של רן בר זיק מהבלוג “אינטרנט ישראל” ושלי. הבדיקה נעשתה בהמשך לחשיפה כאן על פירצת הפרטיות בכלי לבדיקת חברות במפלגת העבודה, שמאפשרת הורדת עותק של מאגר המידע המלא של חברי המפלגה. כעת מתברר שהמאגר הזה מכיל מידע גם על חברים לשעבר.

הכלי המקוון, שמפלגת העבודה הפנתה אליו מאתרה הרשמי, אמור היה לאפשר לגולשים לברר אם הם יכולים להצביע בפריימריז למפלגה, שהתקיימו אתמול (ג’). אולם בגלל רשלנות בבנייתו, הוא איפשר לכל גולש לבדוק עבור כל מספר תעודת זהות אם בעליו הוא חבר המפלגה, ואם כן, מה שמו המלא, מה מינו (עבור חלק מהחברים) והאם הסדיר את התשלומים למפלגה עבור שנת 2017.

האתר הכיל מבחן אני-לא-רובוט (reCAPTCHA) כהגנה מפני קציר המוני של הנתונים על ידי בוטים, אולם המתכנת תומר כהן גילה כי ההגנה הזאת פעילה רק עבור גירסת הווב של כלי הבדיקה, וכי ניתן לעקוף אותה בשיגור שאילתה ישירה לבסיס הנתונים. בשיטה זו ניתן לשלוח שאילתות בצורה שיטתית – במספרים עוקבים, לפי אלגוריתם תעודות זהות (שמונה ספרות וחישוב ספרת ביקורת) או לפי מאגר מספרי תעודות זהות מאחת מגירסאות מרשם האוכלוסין שדלפו לרשת לאורך השנים (רשומון) – וכך להוריד למחשב את המאגר המלא של חברי מפלגת העבודה.

המתכנת רן בר זיק, שכתב פוסט טכני על הפירצה, בדק אותה בין השאר על ידי שאילתה עם המסת”ז שלו עצמו, וקיבל מבסיס הנתונים את שמו ומחרוזת מסויימת, אשר לפי בדיקתנו מצביעה על כך שבר זיק הוא חבר מפלגה. בר זיק שלח שאילתה עם המסת”ז של חברו אסף, וקיבל בחזרה תשובה דומה – את שמו המלא של אסף (שהתבקשנו לא לפרסם) ומחרוזת אחרת. אלא שבעוד בר זיק הוא חבר במפלגת העבודה, אסף הוא חבר לשעבר: “כתבתי להם מפורשות [שאני עוזב] וגם הפסקתי לשלם”.

ביקשנו מאנשים נוספים שעזבו את המפלגה רשות לבדוק את הת”ז שלהם בשאילתה ישירה מול בסיס הנתונים, וברוב המקרים קיבלנו את שמותיהם המלאים ומחרוזת זהה לזו של אסף, שמבדיקתנו עולה שהיא מעידה שהם חברים לשעבר במפלגה.

כלי בדיקת חברות במפלגת העבודה באתר haavoda.com

כלי בדיקת חברות במפלגת העבודה באתר haavoda.com

משמעות הדבר היא שמפלגת העבודה, במקום למחוק מהמאגר חברים שעזבו אותה, שומרת את שמותיהם המלאים ותעודות הזהות שלהם במאגר מידע שמשמש לבדיקת זכאות להצבעה בפריימריז, ושהמאגר הזה עדיין מקוון כשפעורה בו פירצת פרטיות, שעות אחרי שחשפנו אותה ואחרי שהסיבוב הראשון בבחירות המקדימות כבר הסתיים, ויש חמישה ימים עד הסיבוב השני, שבהם ניתן להוריד את המערכת הפרוצה מאוויר האינטרנט, לתקנה ולהחזירה. כלומר, מפלגת העבודה מסכנת לא רק את הפרטיות של חבריה, אלא גם של חבריה לשעבר, גם אחרי שהתבקשה להגיב על כך (וטרם הגיבה) וגם אחרי שהפירצה דווחה בפומבי.

בנוסף, כשבדקנו את המסת”זים של החברים לשעבר בכלי הבדיקה שבאתר – הדרך שבה המפלגה התכוונה שאנשים ישתמשו בו – התקבלה ההודעה “אינך כלול בספר הבוחרים”. כלומר, למשתמש הרגיל, שלא יודע איך לשלוח שאילתה ישירות לבסיס הנתונים, אין דרך לדעת שלמעשה הוא *כן* כלול בספר הבוחרים, אולם בסטטוס נסתר של חבר מפלגה לשעבר. כלומר, נפגעי הרשלנות של מפלגת העבודה אפילו לא יכלו לדעת עליה, משום שכלי הבדיקה הציג להם הודעה מטעה.

כפי שציינתי בפוסט על פירצת הפרטיות, מאגר מידע שמכיל מידע על חברות של אנשים במפלגה מחוייב בהגנות מיוחדות לפי חוק הגנת הפרטיות. עו”ד יהונתן מהתנועה לזכויות דיגיטליות הסביר שם כי הנגשת המידע הזה לציבור הרחב היא עבירה על חוק הגנת הפרטיות, שעשויה להביא לענישה פלילית של 5 שנות מאסר ופיצויים אזרחיים של עד 50 אלף שקל ללא הוכחת נזק.

הודעת "אינך כלול בספר הבוחרים" בכלי בדיקת חברות במפלגת העבודה באתר haavoda.com

“אינך כלול בספר הבוחרים” בכלי בדיקת חברות במפלגת העבודה

“צר לי שהפרטיים האישיים שלי גלויים לכל. ובנוסף שהם נסחרים מיד ליד. זו אחת הסיבות בגללם הפסקתי את חברותי”, הגיב אסף לגילוי שפרטיו לא נמחקו ממאגר מפלגת העבודה. “קיבלתי אימיילים ומסרונים בלי סוף […] גם בשנים לאחר מכן. לא משנה כמה השבתי וביקשתי להסיר אותי מהמאגר. חשבתי בתום לב שסוף סוף הסירו אותי לפי בקשתי”.

“אני התפקדתי [למפלגת העבודה] אחרי המחאה החברתית”, סיפרה ליאת זנד. “חשבתי שחשוב להתפקד למפלגה גדולה ולנסות להשפיע. לא ידעתי עוד לאן זה ידרדר. השתתפתי פעם אחת בבחירות לפריימריז, האחרונות שהיו, וביטלתי לפני כשנה לדעתי את החברות שלי. פניתי אליהם דרך האתר, הם חזרו אלי, ביקשתי לבטל ולא שלחו לי שום דבר בפריימריז האלה, ירדתי מהרשימות שלהם. […] מאחר וחוץ מאראל מרגלית לא קיבלתי [סמסים] מאף אחד, וגם אצלו זה היה מאוד מתון, אני מניחה שברשימה שלהם אני לא נמצאת”, אמרה. כשסיפרתי לה שהיא מופיעה בבסיס הנתונים אמרה בהפתעה “לא נכון!” וצחקה.

“התפקדתי ממש לא מזמן כדי להשתתף בפריימריז”, סיפרה קרן גרינבלט. “קיבלתי כמה מכתבים פיזיים ומיילים שמודיעים שמצאו שאני פקודה בליכוד (לא) ובמרצ (לא חידשתי) (כל אחד במייל/מכתב נפרד), ושאם אני רוצה להשלים את ההתפקדות אני צריכה למסור להם הודעה בפקס או במייל על ביטול חברותי במפלגה האחרת. במכתבים האלה היה כתוב שאם לא אגיב הם יראו את זה כביטול התפקדות. כל זה לא הפריע להם לשלוח עשרות הודעות בחירות ולהעביר את המספר שלי למועמדים למרות שלכאורה ההתפקדות שלי לא הושלמה. השבתי להם במייל שלאור ריבוי ההודעות למרות שהורדתי את הסימון מקבלת מיילים ועדכונים במהלך תהליך ההתפקדות, החלטתי שאני מבטלת את התפקדותי, מבקשת למחוק את המספר שלי מכל המאגרים שלהם ושל המועמדים ומבקשת אישור על כך בכתב”. בינתיים התפקדה גרינבלט למפלגה אחרת, והפסיקה לקבל ספאם רק בעקבות פנייה רביעית, שמוענה ללשכת המזכ”ל. קשה לומר שהיא הופתעה כשסיפרנו לה שפרטיה ממשיכים להופיע במאגר המפלגה.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

“הייתי [חברת מפלגת העבודה] שנה שעברה. השנה התפקדתי למרצ ולא חידשתי אצלם. הסמסים והטלפונים כמובן ממשיכים להגיע”, מספרת הילה, שביקשה לא לפרסם את שמה המלא, ששמור אצלנו. “אני לא מבינה איך מפלגה מרשה לעצמה להתנהל ככה. הבחירה שלי להתפקד למפלגה – או לא להתפקד אליה – היא אישית, ולא נעים לי שבני משפחה, חברים או אנשים מהעבודה יכולים לדעת לאיפה התפקדתי. הם מנסים להרחיק אנשים ממעורבות פוליטית? בשנת 2017 שמירה על הפרטיות היא אחת החובות הבסיסיות של כל גוף פוליטי”.

“עזבתי רשמית, והתפקדתי למרצ. נמאס לי מהספאם וידעתי שאני לא מצביעה להם אלא למרצ, אז ניסיתי לתמוך שם באנשים שרציתי לקדם. למרצ יש את הבעיות שלה, אבל לפחות אין טונות של ספאם”, סיפרה מ’, שביקשה ששמה (ששמור אצלנו) לא יפורסם. על אי מחיקת פרטיה מהמאגר אמרה: “זאת הפרה בוטה ומעליבה של הפרטיות שלי. אם מאז שביטלתי את חברותי חשבתי כמה פעמים לחזור, עכשיו כבר אין סיכוי שאעשה זאת”.

“אני חושבת שמספר התלונות והסבל שמפלגת העבודה גרמה, מצביעים על הניתוק שלה מהבוחרים וממי שהמציאות והפוליטיקה חשובות להם, אבל לא חיים בתוך המנגנונים המפלגתיים. האופן שבו התנהלו עם מספרי הטלפון של מתפקדות/ים, הן המפלגה והן מטות המועמדים, הוא חוסר כבוד ואטימות, והדבר קורה בכל סיבוב פריימריז מחדש”, אמרה גרינבלט. “אם המפלגה רוצה להמציא עצמה מחדש, כדאי לה להתחיל להקשיב לבוחרות הפוטנציאליות”.

“הפסקתי את חברותי כדי לעבור למפלגה אחרת. כולל הפסקת תשלום”, סיפרה מיכל לזובסקי, היחידה מהמרואיינים שלא כעסה על הגילוי. “תכלס, עד שלא כתבת על זה לא ידעתי ותכלס, זה לא ממש מזיז לי. האם עלי להיבדק אצל רופא בגלל זה? כאילו אני בפייסבוק וגוגל. אז מפלגת העבודה תפיל אותי?”

ממפלגת העבודה טרם נמסרה תגובה.

רוצים לברר אם מישהו חבר מפלגת העבודה? תנו מס’ ת”ז שלו ואתר המפלגה יגלה לכם, או שתורידו לכם את המאגר במלואו

מפלגת העבודה עורכת היום בחירות מקדימות לבחירת יושב ראש. המפלגה מספקת כלי מקוון שמאפשר למצביעים הפוטנציאליים לבדוק אם הם רשומים במפלגה ואם הסדירו את התשלומים לשנת 2017. אולם בכלי יש פירצת פרטיות, משום שהוא מאפשר לכל גולש לברר חברות במפלגה באמצעות מספר תעודת זהות של כל אדם, וכן הורדת רשימת המתפקדים במלואה באמצעות סקריפט. הגילוי התגלגל מדיווח ראשוני של הגולשת אורה פלד נקש.

בדף הבית של האתר הרשמי של המפלגה מופיעה אחרי הקיפול הפניה בלבן על רקע כחול כהה: “בדיקת זכאות הצבעה בבחירות ליו”ר מפלגת העבודה ומועמדה לראשות הממשלה”, שמלונקקת לכתובת https://www.haavoda.com/Member/Registrations?e=eyor. תחת הכותרת “בדיקת זכאות הצבעה בבחירות לתפקיד יו”ר העבודה” והשורה “רשאים להצביע חברי/ות מפלגת העבודה המופיעים בספר הבוחרים”, מתבקשים הגולשים להזין מסת”ז כולל ספרת ביקורת, ולעבור בדיקת אני-לא-רובוט (reCAPTCHA) [* ראו עדכון בהמשך].

כלי בדיקת אישור חברות במפלגת העבודה באתר haavoda.com

כלי בדיקת אישור חברות במפלגת העבודה באתר haavoda.com

מסת”ז של מי שאינו חבר מפלגת העבודה יחזיר את התשובה “אינך כלול בספר הבוחרים”. חברי מפלגה שהזינו את המסת”ז לבקשתי קיבלו הודעה שמאשרת שהם חברים, כולל שמם המלא ובחלק מהמקרים התייחסות שהעידה על מינם (“. משמעות הדבר היא שאפשר להזין מסת”זים בלי לדעת של מי הם (ואפילו מספרים אקראיים, תוך שימוש באלגוריתם לחישוב ספרת הביקורת), ולקבל עבור אלו מהם ששייכים לחברי מפלגת העבודה את השם המלא והמין (במפלגת העבודה רשומים כיום כ-58 אלף חברים בעלי זכות בחירה).

אישור חברות במפלגת העבודה באתר haavoda.com

אישור חברות במפלגת העבודה באתר haavoda.com

בדיקת שני מסת”זים מפוברקים שעומדים באלגוריתם ספרת הביקורת העלתה שהם הוזנו למערכת לבדיקות בתור חברי מפלגה בשם “בדיקה טסט” ו”בדיקת התפקדות” (“הנך חבר/ה, אך טרם הסדרת את תשלום דמי החבר לשנת 2017”).

עוד בעיה בכלי הבדיקה היא הקשר הלא-ברור שלו למפלגת העבודה. בעוד הדומיין של האתר הרשמי של המפלגה הוא havoda.org.il, כלי הבדיקה נמצא בדומיין אחר, haavoda.com. בדף הראשי של האתר יש איור של מפה ולוגו של מפלגת העבודה, שכל אחד יכול להשיג ולשים באתר שלו, ושדה לוגין, אבל אין שום דרך ליצור קשר עם בעלי האתר. בעוד רישום הדומיין (WHOIS) של האתר הרשמי של המפלגה מעלה שהוא רשום על שם המפלגה ויש בו פרטי התקשרות מלאים שלה, מי שרשם את הדומיין של כלי הבדיקה עשה זאת דרך שירות בשם Domains By Proxy, שנועד להסתיר את פרטי בעל הדומיין, ומספק פרטי התקשרות של חברת דומיינז ביי פרוקסי בסקוטסדייל, אריזונה, ואת כתובת האימייל haavoda.com@domainsbyproxy.com.

למעשה, הקשר היחיד הנראה לעין בין האתר הרשמי של מפלגת העבודה לבין אתר כלי הבדיקה הוא הלינק שהראשון נותן אל השני. לגולשים שהגיעו לכלי הבדיקה מלינק ישיר שקיבלו מחבר או דרך גוגל, אין דרך לוודא שמדובר באתר אותנטי של מפלגת העבודה ולא באתר מתחזה או זדוני.

פח אשפה ציבורי עם הכיתוב "ביחרו בי", תל אביב. תמונה: עידו קינן, חדר 404

“ביחרו בי”. תמונה: עידו קינן, חדר 404

לפי חוק הגנת הפרטיות, מידע על דעותיו של אדם – והדבר כולל חברות במפלגה, שמעידה על דעה פוליטיות – מוגדר “מידע רגיש”. מאגר שיש בו מידע כזה חייב להיות רשום אצל רשם מאגרי המידע, אסור להשתמש במידע הזה שלא למטרה שלשמה הוכנס למאגר, ובעל המאגר, מחזיק המאגר ומנהל המאגר, “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”.

“העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם”, מסביר עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות ובעברו מתמודד במפלגת העבודה. “הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 ש”ח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו”.

כדי למנוע פירצת פרטיות כזאת, שמהווה פוטנציאל לפגיעה בפרטיות חברי המפלגה, צריך היה להוסיף פקטור אימות לפני הבדיקה – למשל, מספר טלפון סלולרי, שאליו היתה נשלחת התשובה.

הגנת הפרטיות היחידה שהצלחתי למצוא באתר, למעט התקשורת המאובטחת (HTTPS) שאמורה להיות מובנת מאליה, היא מבחן האני-לא-רובוט, שמחייב אשרור ידני בכל בדיקה בנפרד ומונע קצירה המונית של פרטי חברי מפלגה.

[עדכון 16:47]

תומר כהן דיווח שהצליח לבצע שאילתות מול כלי הבדיקה תוך עקיפת בדיקת האני-לא-רובוט, כך שאפשר לכתוב סקריפט שיקצור את כל מאגר מתפקדי מפלגת העבודה – כאמור, כ-58 אלף מתפקדים. רן בר זיק סיפק הסבר טכני ופשוט להבנה בבלוגו “אינטרנט ישראל”.

כאשר אנו מפעילים את ה-reCAPTCHA, אנו נדרשים להטמיע אותה הן בדף שהגולש רואה באמצעות הדפדפן והן בשרת. גם באתר מפלגת העבודה ניתן לראות שיש שימוש ב- recaptcha. המשתמש הרגיל נדרש ללחוץ על אישור שהוא לא רובוט ורק אז לשגר את הפרטים. מה הבעיה? הבעיה היא שה-reCAPTCHA הזה לא מחובר לכלום. כלומר תוקף יכול לשגר את הבקשה לשרת ללא הדפדפן ולקבל תשובה. השרת אינו מוודא שה-reCAPTCHA הופעל בכלל. […] מה שהתוקף צריך לעשות זה לשגר בקשה אל השרת של מפלגת העבודה ולקבל את הפרטים.

[\עדכון]

אבל אי אפשר לצפות להרבה בתחום ההגנה על הפרטיות ממפלגה שח”כיה מספימים את החברים מזה שנים, שהמתמודדים על ראשותה מטרידים את חבריה בספאם סמסים, ושח”כית בה שמנסה לגייס את חברי המפלגה נגד ספאם הסמסים עשתה זאת באמצעות ספאם סמסים.

הודעתי למפלגת העבודה על הבעייתיות בכלי הבדיקה. תגובתה תתפרסם כאן אם תתקבל.

– עדכון אחרון: 17:32


התפרסם גם בקפטן אינטרנט, פולואפ ב”אינטרנט ישראל” של רן בר זיק, צוטט בפלוג של טל שניידר

גטטקסי לא הבינו את הקטע הזה של לא להפקיר את פרטיות הלקוחות שלהם

בפרשת ווייז-קלנדיה-פרטיות, הזכרתי שחברת גטטקסי פגעה בפרטיות לקוחותיה כשחשפה את נסיעותיהם בפני עיתונאי כלכליסט במסגרת מאבק עסקי נגד המתחרה אובר.

כשקידמתי את הפוסט בטוויטר, תייגתי בו גם את גטטקסי. בוט שירות הלקוחות שלהם, ואם הוא לא בוט זה יותר עצוב, לא הצליח לפענח את המסר המורכב שבציוץ שלי.

גטטקסי שואלים בטוויטר אם עידו קינן צריך עזרה עם הכתבה שלו על הפרת הפרטיות שביצעו

לא עברו הרבה ימים וגטטקסי הראו שהם לא מפלים לטובה עיתונאים, וכל מי שרוצה יכול לקבל מידע על נוסעים שלהם. אהוד קינן חשף בנקסטר ששירות הלקוחות של גטטקסי מוסר דוחות מפורטים על נסיעות של לקוחות החברה לכל אחד שרק מבקש זאת. החברה מסרה דוחות לאנשים שסיפקו מספר טלפון של הלקוח, בלי לוודא שהמבקש הוא הלקוח וגם במקרה שבו המבקש אמר במפורש שהוא לא הלקוח.

גטטקסי מוסרת מידע על לקוחות בלי לבדוק את זהות הנמען. תמונה: אהוד קינן, נקסטר

בגטטקסי טענו שמדובר ב”אי הבנה נקודתי בקרב אחד מנציגי השרות”.

אני עדיין מחכה לעזרה שהם הציעו לי בטוויטר.

פרשת ווייז-קלנדיה והפגיעה בפרטיות » “קול העין”

אירוע של ווייז. תמונה: René C. Nielsen (cc-by-sa)

התראיינתי על פרשת ווייז-קלנדיה והפגיעה בפרטיות הגולשים בתוכנית ”
” של העין השביעית וקול הקמפוס, בהנחיית אורן פרסיקו ונמרוד הלברטל, ששודרה ב-3.3.2016.

חיילים שנקלעו לנסיון לינץ’ של פלסטינים בהם במחנה הפליטים קלנדיה האשימו את אפליקציית הניווט ווייז על שניווטה אותם לשם. חברת ווייז הודיעה שהחיילים כיבו פיצ’ר שמונע נסיעה באזורים מסוכנים ומופעל כברירת מחדל, וסטו מהמסלול שהאפליקצייה התוותה להם. בתגובתה, החברה חשפה מידע פרטי של המשתמשים, וכן את העובדה שהיא יודעת ושומרת את המידע הזה, ושהיא מוכנה לחשוף אותו כדי להגן על תדמיתה, בלי נימוק של הצלת חיים או ציות לצו בית משפט.

הראיון מתחיל בדקה 49:38.

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

“פייסבוק הוא עכשיו ישות ההון הפתוח”

למה פתאום כולם מפרסמים “הצהרת זכויות” בפייסבוק, והאם זה בכלל יעזור להגן על זכויות היוצרים שלכם?

בשבוע האחרון נדבקה אומת הרשת העברית בווירוס רעיוני, מם שמשכפל ומפיץ את עצמו באמצעות הפחדה. “אני, [שם הכותב], בשל העובדה כי פייסבוק בחרה לערב תוכנה שתאפשר לגנוב מידע אישי שלי, מצהיר”, נפתח הסטטוס, שאחר כך מזכיר סעיפים של “קוד הקניין הרוחני”, וממשיך בהצהרה שלפיה “הזכויות שלי תקפות לגבי כל הנתונים האישיים שלי, שירים, צילומים, ציורים, תמונות, קריקטורות, קומיקס, טקסטים, מוזיקה וכו’, המפורסמים בפרופיל שלי ובנספחיו. לכל שימוש מסחרי נדרשת הסכמתי המפורשת בכתב”.

עוד קובע הסטטוס כי “על פייסבוק נאסר באיסור חמור לחשוף, להעתיק, להפיץ, לשדר, או לנקוט כל פעולה אחר נגדי על בסיס פרופיל זה ו/או התוכן שלו. האיסור והפעולות שהוזכרו לעיל חלים גם על עובדים, תלמידים, סוכנים, או אנשים בניהולו של פייסבוק”.

ההצהרה נחתמת בשורה האניגמטית “פייסבוק הוא עכשיו ישות ההון הפתוח”. המשפט הזה הוא תרגום עילג מאנגלית של “Facebook is now a publicly traded entity”, כלומר שפייסבוק היא מעתה יישות ציבורית שנסחרת בבורסה. אפשר להסיק מכך שהמם נולד ב-2012, בסמוך להנפקה הציבורית של פייסבוק. לפי האלמוני שיצר את המם, ההנפקה היא נקודת מפנה משפטית, שמצריכה הצהרת פרטיות וזכויות יוצרים מצד המשתמשים. כדי להפיץ את עצמה, ההצהרה מלווה בטקסט מאיים: “כל החברים מוזמנים לפרסם הודעה מסוג זה, ובאפשרותכם להעתיק גרסה זו. אם לא פרסמת את ההצהרה הזאת לפחות פעם אחת, לנוכח שתיקתך יתאפשר השימוש באלמנטים כגון תמונות שלך, כמו גם המידע הכלול בעדכון פרופיל”.

אזהרת זכויות יוצרים לפייסבוק שפרסם אחד המשתמשים (הסתרתי את פרטיו): "בשל העובדה כי פייסבוק בחרה לערב תוכנה שתאפשר לגנוב מידע אישי שלי, אני [שם המשתמשת] מצהירה בתאריך [תאריך הפרסום], בתגובה למדריך החדש של פייסבוק, ובהתאם לסעיפים L.111, 112, 113 של קוד הקניין הרוחני, כי הזכויות שלי תקפות לגבי כל הנתונים האישיים שלי ציורים, תמונות, טקסטים, מוסיקה, וכו ', המפורסמים בפרופיל שלי. לכל שימוש מסחרי נדרשת הסכמתי המפורשת בכתב. לפייסבוק יש איסור חמור לחשוף, להעתיק, להפיץ, לשדר, או לנקוט כל פעולה אחרת נגדי על בסיס פרופיל זה ו/או התוכן שלה. הפעולות שהוזכרו לעיל חלים גם על עובדים, תלמידים, סוכנים, או אנשים בניהולו של פייסבוק. התוכן של הפרופיל שלי מכיל מידע פרטי. הפרת הפרטיות שלי תגרור עונש על-פי החוק (UCC 1-308 1-308 1-103 ו רומא). פייסבוק הוא עכשיו ישות ההון פתוח. כל החברים מוזמנים לפרסם הודעה מסוג זה, ובאפשרותך להעתיק ולהדביק גירסה זו. אם לא פרסמת את ההצהרה הזו לפחות פעם אחת, בשתיקה תאפשר את השימוש אלמנטים כגון תמונות שלך, כמו גם את המידע הכלול בעדכון פרופיל"

הטקסט המאיים שקרי, וההצהרה שמקדימה אותו חסרת משמעות מעשית. “הצהרת הזכויות שפורסמה, מלבד זאת שהיא תרגום ממש לא טוב של טקסט באנגלית, נעדרת תוקף משפטי מול פייסבוק”, מבהיר עו”ד יהונתן קלינגר, המתמחה בדיני רשת. “בשביל לשנות את היחסים המשפטיים המאוד חד-צדדים שלך מול פייסבוק תצטרך לבטל את תקנון השימוש של פייסבוק. אין מילות קסם שתוכל לומר כדי לבטל הסכם שחתמת עליו בלב מלא ובידיעה”.

ההסכם שקלינגר מדבר עליו הוא הסכם תנאי השימוש של פייסבוק, שמסדירים את התנהלות משתמשי הרשת החברתית והחברה המפעילה אותה. פייסבוק התייחסה לכך עם הולדת המם ב-2012, בתגובה להאפינגטון פוסט: “כפי שכתוב בתנאי השימוש שלנו, אנשים שמשתמשים בפייסבוק מחזיקים בבעלות על כל התוכן והמידע שהם מפרסמים בפייסבוק, והם יכולים לשלוט בדרך שבה הוא משותף דרך הגדרות הפרטיות והאפליקציה. לפי תנאי השימוש שלנו, אתם נותנים לפייסבוק רשות להשתמש, להפיץ ולחלוק דברים שאתם מפרסמים, בכפוך לתנאים ולהגדרות הפרטיות הרלוונטיות”.

חנן כהן דיווח בשבוע שעבר על המם באתר בדיקת השמועות שלו “לא רלוונטי”, ופירשן שם את המניעים לפרסום ההצהרה: “פרסום ההודעה על ידי משתמשי פייסבוק על האופן שבו הם רוצים שיתייחסו אליהם היא הבעה של אי נחת מהשליטה המוחלטת של פייסבוק בהתנהלות הדיגיטלית שלהם. האנשים שעוסקים בפיתוח תרבות האינטרנט מחפשים אלטרנטיבות לפייסבוק. כאשר האלטרנטיבות האלה יהיו מספיק נוחות עבור אנשים ‘רגילים’, פייסבוק ייאלצו לשנות את התנאים שלהם או שאנשים יעברו למקום אחר”.


התפרסם באתר וואלה, 21.9.2014


משרד האוצר חשף פרטים אישיים בהודעה לעיתונות, שלח בקשה דחופה למחוק אותם

רם אלפיה מדוברות משרד האוצר שלח ב-10:54 הבוקר הודעה לעיתונות על אפליקציית שירות התשלום הממשלתי של ממשל זמין, וצילומסכים מהאפליקציה.

שעתיים אחר כך, ב-12:51, הוא שלח אימייל נוסף:

שלום רב,

במסך פרטי התשלום באפליקציה החדשה של שירות התשלומים הממשלתי שנשלח נחשפו בטעות פרטים אישיים אמיתיים שהוכנסו לשם הפעלת האפליקציה, אודה לכם אם תטשטשו את מספר ת.ז ורישיון הנהיגה במסך או שתשתמשו בתמונות מסך אחרות ששלחנו.

תודה

אפרופו ממשל ושמירת פרטיות: ההודעות נשלחו כשכל הנמענים חשופים זה לזה ב-To ולא ב-BCC.

יעקב אבינו: מי מצותת לכם לגלישה באינטרנט?

“כל דף שאתה מבקר בו, מישהו שואב את המידע הזה ואוסף תיקים עליך”, אומר מושון זר-אביב, בן 35 מתל אביב, מעצב ומרצה בבצלאל ובשנקר. הוא מכוון ל-web trackers, אפליקציות שעוקבות אחרי הגלישה שלנו ומעבירות את המידע לבעלי האתרים, למפרסמים ומי יודע למי עוד. זר-אביב מבקש להעלות את המודעות לסוגיות הפרטיות שעולות מכך באמצעות Good Listeners, תוסף לדפדפן כרום שהוא פרויקט אמנותי, שנוצר בהזמנת מוזיאון העיצוב בחולון כחלק מתערוכת “די-קוד”.

“גוגל חולשת על בין 80-90% מכל דפי האינטרנט מבחינת טראקינג”, אומר זר-אביב. “היא לא צריכה לשים לך משהו על הדפדפן או לבקש את אישורך, כי דפי האינטרנט האלה עושים שימוש בשירותים של גוגל בתמורה לפרטיות של הגולשים שלהם. השאלה שאני רוצה להעלות דרך הפרויקט, כמובן בצורה מוזרה ומגוחכת, היא על איזה בסיס אנחנו נותנים את האמון העיוור הזה בכוחות העל-טבעיים האלה שנמצאים בכל מקום בו זמנית, ואנחנו לא יכולים לראות אותם”.

כוחות על-טבעיים שנמצאים בכל מקום? אלוהים אדירים. בכל פעם שהתוסף מזהה טראקר הוא מקפיץ דמות של כומר שמשמיע אמרת שפר דתית. “אחד הדברים שהכומר החביב שלי אומר זה שכשאתה נוהג במכונית אתה לא צריך להבין מה קורה במנוע כדי לנהוג. זה ממש ציטוט של אמירה לגבי דת – אתה לא אמור להבין, אתה אמור להאמין”, מסביר זר-אביב. “אני מנסה לשאול: האם באמת אתה לא צריך להבין? באתר של התוסף אני מפנה לכמה יוזמות ופרויקטים ותאורטיקנים שמתמודדים עם השאלות, מנסים למצוא דרכים אחרות ולהסביר מה עלול להיות לא בסדר בזה שמישהו מנסה להפסיק לעשן, והטראקר כל הזמן מנסה לדחוף לו פרסומות לעישון. יש אמירה מאוד רלוונטית, שלפני האינטרנט הכל היה פרטי והיית צריך להתאמץ כדי להפוך משהו לפומבי. היום זה הפוך: הכל פומבי כברירת מחדל ואתה צריך להתאמץ כדי שזה יהיה פרטי. אנחנו עדיין לא מבינים מה זה אומר לגבי איך שאנחנו פועלים”.


התפרסם במקור במדור fi בגליון פברואר 2012 של מוסף פירמה של גלובס


הראיון המלא עם מושון זר-אביב, ראיון טלפוני ב-23.11.2011:

“בעקרון, הנושא של ווב טראקרז הוא נושא שהוא בעיניי מאוד מהותי, והוא כמעט ולא נידון, מהסיבה הפשוטה שאנשים לא מודעים לו. זה נושא שהוא כמעט אינו שנוי במחלוקת מבחינת הקהל הרחב, בעיקר עקב העובדה שהוא לא נודע. אבל כל דף שאתה מבקר בו, מישהו שואב את המידע הזה ואוסף תיקים עליך. באופן ספציפי, ברוב האתרים שתבקר תראה טראקר של גוגל אנליטיקס, גוגל אדז או גוגל פלוס 1. גוגל חולשת על בין 80-90% מכל דפי האינטרנט מבחינת טראקינג. מה שמעניין בזה, גוגל לא צריכה לשים לך משהו על הדפדפן או לבקש את אישורך, כי דפי האינטרנט האלה עושים שימוש בשירותים של גוגל בתמורה לפרטיות של הגולשים שלהם. השאלה שאני רוצה להעלות דרך הפרויקט, כמובן בצורה מוזרה ומגוחכת, היא על איזה בסיס אנחנו נותנים את האמון העיוור הזה בכוחות העל-טבעיים האלה שנמצאים בכל מקום בו זמנית, ואנחנו לא יכולים לראות אותם. זה מתחבר לי עם דיבור על דת. במסגראת המחקר לפרויקט הזה גיליתי תת-תרבות מדהימה של אתרי אמרות שפר דתיות, שמחולקים תמטית עם כמות שטיפת מוח די מדהימה, ומה שהיה יפה באמת זה שאם אני קורא אותם מתוך מחשבה שלא מדובר על אלוהים אלא על ווב טראקר או על הקלאוד, נוצרות פה הרבה משמעויות מאוד מעניינות.

“כשהכומר החביב מדבר ואומר את המילה GOD כתוב ‘גוד’ אבל אתה שומע ‘קלאוד’ או ‘גוגל’. יש כל מיני איסטר אגז (אפיקומנים, הפתעות שמתכנתים מסתירים בתוך פורמטים דיגיטליים, ע”ק) בתוך הפרויקט, ככל שאתה משתמש בו יותר הוא לומד מי הטראקרים שמופיעים יותר, והקול של הכומר נהיה יותר נמוך ככל שהטראקר נפוץ יותר. לפי סוג הטראקר משתנה סוג האנימציה וסוג הציטוטים. כשמדובר בטראקר שהוא שירות פרסומות, למשל, הוא מחזיק מגאפון קטן ויש שלט ‘your ad here’.

“העבודה הזאת הוזמנה על ידי מוזיאון העיצוב במסגרת ההגעה של תערוכת דיקוד של ה-V&A לישראל. בחרתי לקחת זווית קצת שונה משאר העבודות שם. הם רצו ממני עבודת ווב, שמרחב התצוגה שלה הוא קודם כל הדפדפן. העבודה הגיעה כסוג של תגובה לסנטימנט שיכול לצאת מהתערוכה, של אסתטיזציה של הדאטהבייס – איזה יופי זה מידע, ואיזה יופי אפשר להציג אותו. גם GL הוא סוג של ויזואליזציה, אבל בניגוד לוויזואליזציה גרפית של טבלאות וגרפים, היא ויזואליזציה אלגורית, שלא מסתירה את עצם היותה מניפולטיבית”.

העבודה אוספת מידע ולומדת על המשתמשים?
“לא. זו נקודה חשובה: פלאגין יכול לעשות דבר כזה, אבל כחלק מהרעיון אני מנסה שלא לאגור מידע על המשתמש, כי אז אני משחזר את אותה מערכת. זו המורכבות של להביא את הפלגין לדפדפנים אחרים. הסיבה שהוא עובד על כרום היא שכרום תומך בטקסט-טו-ספיץ’ באופן מובנה, ולא דורש לגשת בכל פעם לשירות רשת. שלבי ההתקדמות של הפרויקט מוגבלים למה שאפשר לעשות ללא צורך להתבסס על שירותי אינטרנט שעלולים גם לעקוב אחריך. כדי להוכיח שאנחנו לא רק אומרים אלא גם עושים, הפרויקט משוחרר כקוד פתוח, וכל אחד מוזמן להציץ בקוד עצמו ולראות מה אנחנו עושים ומה לא.

“בסופו של דבר הדיון בנושא הזה, כשהוא כן מתקיים, טענת הנגד הראשונה היא שהאינטרנט בא עם פרסומות, כדי לעשות פרסומות יעילות צריך לעשות פרסום ממוקד, ואם לא עושים טראקינג אי אפשר לעשות פרסום ממוקד. אז קודם כל, זה לא שחור ולבן, צריך לדעת מה החוקים של האיסוף, לכמה זמן אוספים, האם מי שאוסף עלי מידע יכול למכור את זה לצד שלישי או רביעי? יש גם יוזמות שאומרות שאפשר לעשות פרסום התנהגותי ללא מעקב. למשל יש יוזמה שנקראת adnostics, שמציעה למפרסמים לשלוח לדפדפן עצמו 20 פרסומות, והדפדפן עצמו יעשה את המעקב אחרי השימוש שלי ויחליט אילו פרסומות להראות, וככה אנחנו יכולים לקבל את המיטב משני הצדדים. זה דיון שיש מקום לקיים אותו אבל הוא פשוט לא מתקיים. בגלל חוסר המודעות. אחד הדברים שהכומר החביב שלי אומר זה שכשאתה נוהג במכונית אתה לא צריך להבין מה קורה במנוע כדי לנהוג. זה ממש ציטוט של אמירה לגבי דת – אתה לא אמור להבין, אתה אמור להאמין. אני מנסה לשאול: האם באמת אתה לא צריך להבין. באתר אני מפנה לכמה יוזמות ופרויקטים ותאורטיקנים שמתמודדים עם השאלות, מנסים למצוא דרכים אחרות ולהסביר מה עלול להיות לא בסדר בזה שמישהו מנסה להפסיק לעשן, והטראקר כל הזמן מנסה לדחוף לו פרסומות לעישון. הדיון על הפרטיות קופץ למקום המאוד דרמטי שפרטיות זה רק לטרוריסטים. אני אומר שלא. למשל, אם מישהי בהריון והיא צריכה להחליט אם ומתי לספר לבוס.

“הדרך שבה כל מיני שירותים שומרים עלינו מידע שמוציא את הקונטקסט מהפעילות הראשונית, אם זה גלישה או יצירת תוכן באינטרנט, זה משהו שמשנה את הדרך שבה אנחנו מתנהגים ומתנהלים. אני חושב שזה שווה התייחסות וביקורת. הלן ניסנבאום, אחת התאורטיקניות שמתעסקת בנושא של פרטיות, מדברת על contextual integrity, אמינות של הקשר. אם אני במסיבת קריוקי לכבוד היומולדת שלי אני משתגע לחלוטין, כשאני עומד מול הסטודנטים שלי אותה תמונה [שלי משתגע] שמה אותי באור קצת אחר. אם סטודנט שלי לא עושה שיעורים אבל החליט להיות חבר שלי בפייסבוק וראיתי שכל השבוע הוא עדכן סטטוסים, ובזמן הזה הוא יכול היה לעשות שיעורים, פעילות אחת זולגת לתוך קונטקסט אחר. בגלל שהדברים האלה כ”כ רוחביים ואנחנו לא יכולים לצפות את ההשלכות שלהם, אנחנו הופכים להיות קורבנות שלהם בלי אפשרות לנסח ולנהל את עצמנו בתוכם. הניסוח הוא לא רק מה שאמרת אלא איפה אמרת ולמי”.

יש מסר פרקטי ל-GL?
“יש סימן שאלה שמופיע לצד כל שם של טראקר, שיקח אותך לאתר של חברה שאוספת מידע על הטראקר, מה מדיניות הפרטיות שלו וכו’. יש לינק מהכפתור של הפלאגין ‘the devil’s software’, פלגין ghostery שהיה השראה לפרויקט – הוא מספק מידע כמו GL אבל גם מאפשר חסימה, וגם מתי ולמי להיחשף. יש פעילות בתחום הזה, GL רוצה להיות צעד ראשון בתוך הדיון הזה, וגם לכוון לאיפה להמשיך משם”.

אדם יכול להחליט שהוא לא משתמש באתרים ושירותים שפוגעים בפרטיות שלו? למשל, שהוא לא משתמש בגוגל פלוס או פייסבוק?
“גוגל פלוס כן. אתה לא חייב. אלא אם אתה חייב לדבר עם החברים הגיקים שלך. אבל התשובה היא לא: אתה חייב להיות מחובר אם אתה עוסק בתחום הזה, ולרוב גם אם אתה לא. ב-NYU לימדתי במחלקה לתקשורת, וכל סמסטר הייתי נותן לסטודנטים תרגיל, שבוע בלי גוגל, שבוע שבו כולנו ניסינו שלא להשתמש בשום שירות של גוגל. תמיד יש את ההרגשה הזאת שאם אני רוצה אני יכול להפסיק – סיגריות למשל. הימים הראשונים ממש קשים, מי שמגיע ליום השלישי-רביעי, זה הופך להיות אתגר מדליק, ובחמישי-שישי-שבת זה כבר ‘וואלה, אני יכול לחיות בלי זה, אבל זה עוד מעט נגמר, ואפשר לחזור ולהתנהג כמו אנשים נורמליים’. אני חושב שחשוב שאנחנו נבחר, ושנבין גם מה זה אומר, החינם הזה, ובמה אנחנו משלמים.

“אני לא משתמש בג’ימייל כשירות האימייל הראשי שלי בגלל סוגיות של פרטיות, ואני משלם על זה, כי אני חושב שג’ימייל הוא השירות הכי טוב היום. בזמן שאולי היתה יכולה להיות תחרות אם לא כולם היו נוהרים לג’ימייל, זה לא המצב. הגדרתי לי את הקו של האימייל שאני לא עובר. אני משתמש בג’ימייל רק לרשימות תפוצה. אני כל הזמן מרגיש שאני בקרב מפסיד (losing battle), אבל אני לא אכנע בלי קרב. במקביל, כבנאדם שמתעסק בלפתח פלטפורמות כאלה, חשוב לי לנסות להבין איך אני יכול למצוא נתיבים שלא דורשים את זה. יש פרויקט מעניין שנקרא the locker project. היום אתה יכול לעשות כל מיני דברים עם הפיד של טוויטר או גוגל מאפּס – יש שירותים שאוגרים את המידע שלך ושירותים שמאפשרים לעשות מאשאפים של המידע. הפרויקט אומר: במקום שהגופים יחזיקו עליך מידע ואתה תבקש מהם אישור להשתמש בו, נחזור למצב הנכון שבו המידע הזה נשאר שלך, אתה מחזיק את המידע והם מבקשים רשות להשתמש בו. במקום לשבת על הענן, זה מייצר לך עננה קטנה בבית, ואתה מחליט מתי לפתוח את החלון ומתי לא. הדיון היום על פרטיות הוא מאוד בסיסי, אנשים לא מבינים למה זה חשוב להם.

“יש אמירה מאוד רלוונטית, שלפני האינטרנט הכל היה פרטי בדיפולט והיית צריך להתאמץ כדי להפוך אותו לפומבי. היום הכל פומבי בדיפולט ואתה צריך להתאמץ כדי שזה יהיה פרטי. ההיפוך הזה, אנחנו עדיין לא מבינים מה זה אומר לגבי איך שאנחנו פועלים”.

לדף הבא →