מפלגת העבודה חוסמת רק אחת משתי הפירצות באתרה כי למי יש כוח לעבודה

שתי פרצות באתר מפלגת העבודה, שהמתכנת רן בר זיק ואני חשפנו פה השבוע, פגעו בפרטיות כשחשפו פרטים של חברים וחברים לשעבר במפלגה. היום חסמה המפלגה אחת משתי הפירצות, הגדולה מביניהן, אולם השאירה את השנייה פתוחה.

הפירצה הקטנה היא פירצת פרטיות מובנית בכלי המקוון לבדיקת זכות הצבעה בפריימריז של המפלגה. הכלי המקוון איפשר לחברי המפלגה להזין מספר תעודת זהות, לעבור מבחן אני-לא-רובוט (reCAPTCHA), ולקבל חיווי אם הם רשומים כבעלי זכות הצבעה, והחזיר להם את שמם המלא ובחלק מהמקרים את מינם. בהיעדר מנגנון לווידוא זהות הבודק, כל גולש יכול להכניס כל מספר תעודת זהות ולגלות אם בעליו הוא חבר המפלגה. פירצה זו לא נסגרה, כאמור, ועדיין זמינה באתר. המפלגה לא הגיבה לפנייתי בנושא הפירצה.

אישור חברות במפלגת העבודה באתר haavoda.com

הפירצה הגדולה היא פירצת אבטחה באותו כלי בדיקה מקוון. המתכנת תומר כהן גילה שהוא יכול לעקוף את הממשק הוובי של כלי הבדיקה ולשלוח שאילתה ישירות למאגר הנתונים שאליו הוא מתממשק. השאילתה הזאת לא עוברת דרך מבחן אני-לא-רובוט, ועל כן מאפשרת לכתוב סקריפט שיציף את המערכת בשאילתות כלליות (כל טווח המספרים האפשרי של תעודות הזהות) או ממוקדות (רק מספרים שמתאימים לאלגוריתם של מסת”ז וספרת ביקורת, או רשימת המסת”זים האמיתית מתוכנת רשומון שמכילה עותק דלוף של מרשם האוכלוסין), ולקצור כך את כל מאגר מתפקדי מפלגת העבודה, כ-58 אלף בעלי זכות הצבעה.

בנוסף, בר-זיק גילה שבאמצעות שאילתה ישירה הוא יכול לקבל מידע לא רק על חברי מפלגה, אלא גם על חברי מפלגה לשעבר, שהמפלגה משום מה ממשיכה לשמור את פרטיהם במאגר שלה. המפלגה לא הגיבה על פירצה זו.

שאילתות על חברים לשעבר במפלגת העבודה מול אתר haavoda.com. מחקנו חלק מהפרטים המזהים

הפירצה הגדולה נחסמה, פרסם הערב מפתח התוכנה יונתן ביטון. הוא העלה צילומסך של שאילתה ששלח לאתר, ותשובה שמכילה הודעת שגיאה שלפיה הוא נכשל במבחן האני-לא-רובוט (“invalid captcha”).

נראה שהבעיה טופלה pic.twitter.com/9DK9umXH6u

— Yonatan Bitton (@bityob) July 5, 2017

בר זיק בדק את התיקון ומדווח: “לאחר שבדקתי מספר מספרי תעודת זהות, וגם ניסיתי לשחזר את הפריצה, אני יכול להעיד שהפירצה סגורה. היא נסגרה על ידי שימוש תקין במנגנון ה-reCAPTCHA, המנגנון שאמור לוודא שמדובר באדם אמיתי מאחורי הבקשה. עכשיו, כאשר מתבצעת קריאה לשרת, נשלח גם פרמטר שיכול להיווצר רק בדפדפן ורק אם המשתמש עבר את הבדיקה של ה-reCAPTCHA. השרת בודק את הפרמטר, מוודא שהוא תקין ורק אז שולח את התוצאה המתאימה. לפיכך הטופס בטוח. נכון, באופן עקרוני אדם יכול להכנס אל האתר ולהכניס מספרי זהות כרצונו, אבל זה כבר לא יהיה סקריפט אוטומטי ולפיכך אי אפשר תוך שעה להוריד את כל מאגר הנתונים של המתפקדים. מוטב היה גם להטמיע מנגנון שבולם יותר מדי קריאות מאותה כתובת IP, אך בתור תיקון חירום, התיקון שלעיל מספיק”.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

לסיכום, יממה או קצת יותר אחרי שהפירצות הובאה לתשומת לבה, מפלגת העבודה סגרה רק אחת מהן. המפלגה טרם מצאה לנכון להגיב לפניותיי העיתונאיות בנושא. איש מהמתמודדים על ראשות המפלגה חובבי ההספמה בסמסים לא התבטא בפומבי, לא לקח אחריות ולא התנצל על מה שעו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות הסביר שיכול להביא לעונש של 5 שנות מאסר ולפיצוי אזרחי של עד 50 אלף שקל ללא הוכחת נזק לכל אדם שפרטיותו נפגעה מהמחדל. הרשות למשפט וטכנולוגיה במשרד המשפטים, הרגולטור לענייני פגיעה בפרטיות, טרם הגיבה לפנייתי בנושא. המאגר הביומטרי לא ידלוף.

5 ביולי, 2017 | בנושאים פרטיות