הדרך הכי בטוחה עבור חברה לשמור על המידע שלכם היא לא להחזיק אותו מלכתחילה » האחראי על האינטרנט

הקליקו לארכיון האחראי על האינטרנט

ממשלות דורשות מחברות טכנולוגיה לספק מידע על לקוחות שלהן. למשל: מידע על תכתובות בשירותי אימייל או צ’ט שהחברות מספקות ללקוחות. החברה יכולה לציית לבקשה ולהעביר את המידע או להיאבק נגד הבקשה בבית משפט (או לסרב פקודה וללכת לכלא).

יאהו בחרה לציית, כפי שעשתה בעבר כשהסגירה מידע על עיתונאים סינים דיסידנסטים לשלטונות סין. לפי סקופ של ג’וסף מן ברויטרס, החברה קיבלה בשנה שעברה דרישה מסווגת מרשות אמריקאית, NSA (סוכנות ביון לריגול אחר פעילות מחוץ לארה”ב) או FBI (רשות לחקירת פשעים פדרליים ולריגול אחר חתרנות וטרור בתוך ארה”ב, שה-NSA מגיש דרכה בקשות למעקבים בתוך ארה”ב), ובעקבותיה סרקה את כל הודעות האימייל הנכנסות של מאות מיליוני משתמשיה בחיפוש אחר מחרוזת טקסט ספציפית שהרשות האמריקאית ביקשה שתחפש. לפי הניו יורק טיימס, יאהו התאימה לשם כך את הכלים ששימשו אותה לסרוק אימיילים נגד ספאם, תוכן פדופילי ונוזקות.

לפיו הכתב מן, מומחי מעקב אומרים שזו הפעם הראשונה שחברת אינטרנט אמריקאית מסכימה לבקשת סוכנות ביון לחפש בכל האימיילים הנכנסים, במקום לבצע חיפוש בהודעות מאוחסנות או במספר מצומצמם של חשבונות בזמן אמת. תגובותיהן החד-משמעיות של המתחרות של יאהו מחזקות זאת. דובר מיקרוסופט מסר לרויטרס: “מעולם לא עסקנו בסריקה סודית של תעבורת אימייל כמו זו שדווחה על יאהו היום”. דובר גוגל מסר: “מעולם לא קיבלנו בקשה כזו, אבל לו היינו מקבלים, התגובה שלנו היתה פשוטה: ‘בשום אופן'”.

יאהו מייל

NSA לא מסרה תגובה. יאהו מסרה תגובה קצרה שלא מכחישה ולא מאשרת: “יאהו היא חברה שומרת חוק, ומצייתת לחוקים של ארה”ב”. בהמשך, כמעט יממה אחרי פרסום הכתבה ברויטרס, הוציאה החברה הודעה נוספת, שבה אמרה כי “הכתבה מטעה. אנחנו מפרשים באופן צר כל בקשה מהממשל לקבלת מידע של משתמשים כדי לצמצם את החשיפה. מערכת סריקת האימייליים שמתוארת בכתבה לא קיימת במערכות שלנו”.

כפי שציין סם בידל באתר אינטרספט, לא ברור למה יאהו לא מסרה את התגובה הזאת מלכתחילה לרויטרס, ולמה לקח לה 20 שעות לכתוב 29 מילים (באנגלית). אלו אפילו לא מכחישות את הסיפור, אלא רק אומרות שהוא מטעה. החברה טוענת שהמערכת ש”מתוארת בכתבה” “לא קיימת”, כלומר ייתכן שקיימת מערכת דומה אך הפרטים לא מדוייקים, או שייתכן שהמערכת הייתה קיימת בעבר אך הוסרה. בנוסף, ההצהרה נשלחה מחברת היחצנות של יאהו, ואינה חתומה על ידי אף אחד, ודאי שלא בכיר ביאהו, לא מריסה מאייר, המנכ”לית שתחתיה התקבלה ההחלטה, ולא על סמנכ”ל אבטחת המידע אלכס סטאמוס.

במקרה של סטאמוס, ברור למה – הוא כבר עבר לפייסבוק. לפי הדיווח ברויטרס, כשיאהו החליטה לציית לדרישת הריגול, היא לא עשתה זאת דרך צוות האבטחה אלא דרך מהנדסי האימייל של יאהו, שכתבו את התוכנה שאספה את האימיילים החשודים ואחסנה אותם עבור רשויות הריגול האמריקאיות. אנשי אבטחת המידע של יאהו גילו את התוכנה במאי 2015, שבועות בודדים אחרי התקנתה, ובתחילה חשבו שמדובר שקראקרים פרצו ליאהו והתקינו אותה. כשסטאמוס גילה שהמנכ”לית מאייר אישרה את תוכנית הריגול, הוא התפטר מתפקידו, ואמר לעובדיו שהחברה לא שיתפה אותו בהחלטה שפגעה באבטחה של המשתמשים. בגלל תיכנות לקוי, הוא טען, קראקרים יכלו לגשת לאימיילים המאוחסנים ולקרוא אותם.

ואין לה עוד לתת לך דבר

המצב בחברה שמאחורי תוכנת הצ’ט סיגנל, אופן וויספר סיסטמז, הרבה יותר טוב. באותו יום שבו נחשפה פרשת יאהו, אופן וויספר סיסטמז דיווחה באתרה כי “‘במחצית הראשונה של 2016’ (זה הכי ספציפי שמותר לנו) קיבלנו צו זימון מהמחוז המזרחי של וירג’יניה. צו הזימון דרש שנספק מידע על שני משתמשי סיגנל עבור חקירה של חבר מושבעים גדול פדרלי. […] זה צו הזימון הראשון שקיבלנו”.

אפליקציית הצ'ט סיגנל. תמונה: אתר סיגנל

וויספר צייתו לצו. אבל מאחר שסיגנל פועלת כפי שהיא פועלת, בניגוד לתוכנות צ’ט אחרות כמו וואטסאפ, היא לא שומרת כמעט שום מידע על משתמשיה, ולכן וויספר לא חשפו כמעט דבר על משתמשיהם: “המידע היחיד שאנחנו יכולים להפיק בתגובה לבקשה כזו היא התאריך והשעה שמשתמש נרשם בסיגנל והתאריך האחרון שבו הוא היה מחובר לשירות של סיגנל”. כל מידע אחר – ובפרט אנשי הקשר, גירסה מוצפנת של אנשי הקשר, מידע נגזר על אנשי קשר, קבוצות צ’ט, מספר קבוצות, שמות קבוצות, חברי קבוצות, עצם קיום תקשורת בין משתמשים וההודעות עצמן – לא נגיש לאנשי החברה, ולכן הם לא יכולים למסור אותו לרשויות, גם אם אלו יעצרו, יקנסו, יאסרו או יכו אותם עם מקלות.

“במקור הוא הגיע עם צו איסור פרסום שמנע מאיתנו לפרסם הודעה זו”, סיפרו אנשי סיגנל על צו הזימון. הם פנו לארגון זכויות האזרח ACLU, ובעזרתו הסירו את הצא”פ ופרסמו את כל מה שמותר מהתכתובות שלהם עם הממשל, דבר שהם מבטיחים להמשיך ולעשות בעתיד.

שרוף את הכל, רק אל תסגיר לקוחות לממשל


לנחשף שהמטרה של הרשויות היתה אדוארד סנואודן, מדליף מסמכי ה-NSA, שהחזיק תיבת אימייל בלאבהביט, וגם החשיפה הזאת קרתה בטעות, כי הרשויות שחררו לפרסום מסמכים שבהם שכחו להשחיר את כתובת האימייל של סנואודן.


משודר בגלצ בפינה “האחראי על האינטרנט” בתוכנית “שישבת” בהגשת עידן קוולר. הפינה משודרת מדי שבת ב-19:30


תגובות

תגובות

Powered by Facebook Comments

תגובות

4 תגובות לפוסט “הדרך הכי בטוחה עבור חברה לשמור על המידע שלכם היא לא להחזיק אותו מלכתחילה » האחראי על האינטרנט”

  1. » יאהו ממשיכה לחטוף על פרשת החיטוט באימיילים של לקוחותיה >> האחראי על האינטרנט בגלצ on 15 באוקטובר, 2016 19:35

    […] יאהו חיטטה באימיילים הנכנסים של משתמשיה עבור סוכנות ביון ממשלתית, חשפה סוכנות הידיעות רויטרס בתחילת החודש. הציתות היה חסר תקדים בהיקפו ולא בטוח שהכרחי מבחינה חוקית, יאהו הגיבה בתחילה שהיא מצייתת לחוק ואחרי כיממה הוציאה תגובה שבה אמרה שהסיפור לא מדויק, אך לא הכחישה אותו, וגל כתבות בתקשורת הטכנולוגיה קרא למתגלצ’ים למחוק את חשבון היאהו מייל שלהם. […]

  2. » בריטים מגגלים בדיעבד את השלכות הברקזיט • למפעיל אימייל מוצפן הותר להגיד שסגר בגלל סנואודן » האחראי על האינטרנט on 24 בדצמבר, 2016 21:32

    […] הזה כבר פורסם בעבר כהשערה על ידי עיתונאים, ונחשף בגלל טעות של ה-FBI, ששחרר מסמך שבו שכח להשחיר את כתובת האימייל של […]

  3. » התקלה בגולן טלקום היא הזדמנות להתנתק מהטלפוניה ולעבור לאפליקציות מוצפנות on 25 בספטמבר, 2017 17:04

    […] שמשוחררת בקוד פתוח. היצרנית שלה, אופן וויספר סיסטמז, נלחמה נגד צו שדרש ממנה לספק מידע על משתמשיה תחת איסור פרסום, וממילא […]

  4. » ❗ יאהו מגלה: לא 1 אלא 3 מיליארד חשבונות נחשפו בפריצה 💻 האנטיווירוס של קספרסקי שימש לפריצה ל-NSA 📻 האחראי על האינטרנט בגלצ on 7 באוקטובר, 2017 19:41

    […] על כך, לפני שנה חשפה סוכנות הידיעות רויטרס שיאהו חיטטה באימיילים של משתמשיה באופן ובהיקף חסר תקדים. לפי הפרסום, יאהו קיבלה ב-2015 […]

פרסום תגובה