רוצים לברר אם מישהו חבר מפלגת העבודה? תנו מס’ ת”ז שלו ואתר המפלגה יגלה לכם, או שתורידו לכם את המאגר במלואו
מפלגת העבודה עורכת היום בחירות מקדימות לבחירת יושב ראש. המפלגה מספקת כלי מקוון שמאפשר למצביעים הפוטנציאליים לבדוק אם הם רשומים במפלגה ואם הסדירו את התשלומים לשנת 2017. אולם בכלי יש פירצת פרטיות, משום שהוא מאפשר לכל גולש לברר חברות במפלגה באמצעות מספר תעודת זהות של כל אדם, וכן הורדת רשימת המתפקדים במלואה באמצעות סקריפט. הגילוי התגלגל מדיווח ראשוני של הגולשת אורה פלד נקש.
בדף הבית של האתר הרשמי של המפלגה מופיעה אחרי הקיפול הפניה בלבן על רקע כחול כהה: “בדיקת זכאות הצבעה בבחירות ליו”ר מפלגת העבודה ומועמדה לראשות הממשלה”, שמלונקקת לכתובת https://www.haavoda.com/Member/Registrations?e=eyor. תחת הכותרת “בדיקת זכאות הצבעה בבחירות לתפקיד יו”ר העבודה” והשורה “רשאים להצביע חברי/ות מפלגת העבודה המופיעים בספר הבוחרים”, מתבקשים הגולשים להזין מסת”ז כולל ספרת ביקורת, ולעבור בדיקת אני-לא-רובוט (reCAPTCHA) [* ראו עדכון בהמשך].
מסת”ז של מי שאינו חבר מפלגת העבודה יחזיר את התשובה “אינך כלול בספר הבוחרים”. חברי מפלגה שהזינו את המסת”ז לבקשתי קיבלו הודעה שמאשרת שהם חברים, כולל שמם המלא ובחלק מהמקרים התייחסות שהעידה על מינם (“. משמעות הדבר היא שאפשר להזין מסת”זים בלי לדעת של מי הם (ואפילו מספרים אקראיים, תוך שימוש באלגוריתם לחישוב ספרת הביקורת), ולקבל עבור אלו מהם ששייכים לחברי מפלגת העבודה את השם המלא והמין (במפלגת העבודה רשומים כיום כ-58 אלף חברים בעלי זכות בחירה).
בדיקת שני מסת”זים מפוברקים שעומדים באלגוריתם ספרת הביקורת העלתה שהם הוזנו למערכת לבדיקות בתור חברי מפלגה בשם “בדיקה טסט” ו”בדיקת התפקדות” (“הנך חבר/ה, אך טרם הסדרת את תשלום דמי החבר לשנת 2017”).
עוד בעיה בכלי הבדיקה היא הקשר הלא-ברור שלו למפלגת העבודה. בעוד הדומיין של האתר הרשמי של המפלגה הוא havoda.org.il, כלי הבדיקה נמצא בדומיין אחר, haavoda.com. בדף הראשי של האתר יש איור של מפה ולוגו של מפלגת העבודה, שכל אחד יכול להשיג ולשים באתר שלו, ושדה לוגין, אבל אין שום דרך ליצור קשר עם בעלי האתר. בעוד רישום הדומיין (WHOIS) של האתר הרשמי של המפלגה מעלה שהוא רשום על שם המפלגה ויש בו פרטי התקשרות מלאים שלה, מי שרשם את הדומיין של כלי הבדיקה עשה זאת דרך שירות בשם Domains By Proxy, שנועד להסתיר את פרטי בעל הדומיין, ומספק פרטי התקשרות של חברת דומיינז ביי פרוקסי בסקוטסדייל, אריזונה, ואת כתובת האימייל haavoda.com@domainsbyproxy.com.
למעשה, הקשר היחיד הנראה לעין בין האתר הרשמי של מפלגת העבודה לבין אתר כלי הבדיקה הוא הלינק שהראשון נותן אל השני. לגולשים שהגיעו לכלי הבדיקה מלינק ישיר שקיבלו מחבר או דרך גוגל, אין דרך לוודא שמדובר באתר אותנטי של מפלגת העבודה ולא באתר מתחזה או זדוני.
לפי חוק הגנת הפרטיות, מידע על דעותיו של אדם – והדבר כולל חברות במפלגה, שמעידה על דעה פוליטיות – מוגדר “מידע רגיש”. מאגר שיש בו מידע כזה חייב להיות רשום אצל רשם מאגרי המידע, אסור להשתמש במידע הזה שלא למטרה שלשמה הוכנס למאגר, ובעל המאגר, מחזיק המאגר ומנהל המאגר, “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”.
“העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם”, מסביר עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות ובעברו מתמודד במפלגת העבודה. “הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 ש”ח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו”.
כדי למנוע פירצת פרטיות כזאת, שמהווה פוטנציאל לפגיעה בפרטיות חברי המפלגה, צריך היה להוסיף פקטור אימות לפני הבדיקה – למשל, מספר טלפון סלולרי, שאליו היתה נשלחת התשובה.
הגנת הפרטיות היחידה שהצלחתי למצוא באתר, למעט התקשורת המאובטחת (HTTPS) שאמורה להיות מובנת מאליה, היא מבחן האני-לא-רובוט, שמחייב אשרור ידני בכל בדיקה בנפרד ומונע קצירה המונית של פרטי חברי מפלגה.
שבדיקה קצרה מראה שגם הקאפצ׳ה שהם שילבו שם לא ממש נחוצה. במילים אחרות, כנראה שאפשר לשאוב את כל מאגר הנתונים שלהם עם קוד די פשוט. @barzik pic.twitter.com/O23eZ8I8ti
— Tomer Cohen (@tomer) July 4, 2017
תומר כהן דיווח שהצליח לבצע שאילתות מול כלי הבדיקה תוך עקיפת בדיקת האני-לא-רובוט, כך שאפשר לכתוב סקריפט שיקצור את כל מאגר מתפקדי מפלגת העבודה – כאמור, כ-58 אלף מתפקדים. רן בר זיק סיפק הסבר טכני ופשוט להבנה בבלוגו “אינטרנט ישראל”.
כאשר אנו מפעילים את ה-reCAPTCHA, אנו נדרשים להטמיע אותה הן בדף שהגולש רואה באמצעות הדפדפן והן בשרת. גם באתר מפלגת העבודה ניתן לראות שיש שימוש ב- recaptcha. המשתמש הרגיל נדרש ללחוץ על אישור שהוא לא רובוט ורק אז לשגר את הפרטים. מה הבעיה? הבעיה היא שה-reCAPTCHA הזה לא מחובר לכלום. כלומר תוקף יכול לשגר את הבקשה לשרת ללא הדפדפן ולקבל תשובה. השרת אינו מוודא שה-reCAPTCHA הופעל בכלל. […] מה שהתוקף צריך לעשות זה לשגר בקשה אל השרת של מפלגת העבודה ולקבל את הפרטים.
אפשר לקחת את כל אלו שיש להם עד שמונה ספרות בתעודת הזהות (מבוגרים יותר, כמה צעירים מתפקדים?), כלומר, נשארנו עם עשר מיליון אפשרויות. ממש סביר.
— דוד (@DavidW300) July 4, 2017
סקריפט שרץ על רישומון ובודק את כל הת.ז
— NItzan Brumer (@nitzanb) July 4, 2017
סופסוף מישהו מספק לכם api נֹח ואתם מתלוננים?
— Ohad Eytan (@OhadEytan) July 4, 2017
[\עדכון]
אבל אי אפשר לצפות להרבה בתחום ההגנה על הפרטיות ממפלגה שח”כיה מספימים את החברים מזה שנים, שהמתמודדים על ראשותה מטרידים את חבריה בספאם סמסים, ושח”כית בה שמנסה לגייס את חברי המפלגה נגד ספאם הסמסים עשתה זאת באמצעות ספאם סמסים.
הנקמה ל#ספאמפלגה הוגשה לוהטת- תתחילו להתייחס בכבוד לפרטיות שלנו שם במפלגת העבודה בבקשה https://t.co/FRgoWbyaAw
— OraBora (@OraPeledN) July 4, 2017
הודעתי למפלגת העבודה על הבעייתיות בכלי הבדיקה. תגובתה תתפרסם כאן אם תתקבל.
– עדכון אחרון: 17:32
תגובות
7 תגובות לפוסט “רוצים לברר אם מישהו חבר מפלגת העבודה? תנו מס’ ת”ז שלו ואתר המפלגה יגלה לכם, או שתורידו לכם את המאגר במלואו”
פרסום תגובה
עליך להתחבר כדי להגיב.
אבל המאגר הביומטרי לעולם לא ידלוף.
[…] ישראל” ושלי. הבדיקה נעשתה בהמשך לחשיפה כאן על פירצת הפרטיות בכלי לבדיקת חברות במפלגת העבודה, שמאפשרת הורדת עותק של מאגר המידע המלא של חברי המפלגה. […]
הורידו הרגע את האתר
[…] שתי פרצות באתר מפלגת העבודה, שהמתכנת רן בר זיק ואני חשפנו פה השבוע, פגעו בפרטיות כשחשפו פרטים של חברים וחברים לשעבר במפלגה. היום חסמה המפלגה אחת משתי הפירצות, הגדולה מביניהן, אולם השאירה את השנייה פתוחה. […]
[…] פירצות אבטחה ופרטיות באתר מפלגת העבודה איפשרו לגלות זהות של חברי מפלגה (וחברי מפלגה לשעבר) באמצעות מספרי תעודת זהות, ולהוריד עותק של הרשימה המלאה על ידי הרצת סקריפט. חשפנו פה את הפירצות בצהרי יום שלישי, יום הפריימריז במפלגה, ורביעי בערב המפלגה חסמה אחת מהן. היום בצהריים הגיעו תגובות. […]
[…] כלי מקוון שבו יוכלו לבדוק אם הם זכאים להצביע. פירצות אבטחה ופרטיות בכלי הבדיקה איפשרו לכל אחד לבדוק עבור כל מספר ת”ז אם […]
[…] הקודמים: ביום שלישי, יום הפריימריז במפלגת העבודה, חשפנו כאן פירצת פרטיות, שמאפשרת לכל גולש להכניס כל תעודת זהות ולגלות אם בעליה […]