מפלגת העבודה ניצלה מפירצה נוספת כי מאגר הבוחרים ירד מהרשת; מגישה תלונה במשטרה על נסיון פריצה

אתר haavoda.com של מפלגת העבודה, שאיפשר לבדוק מי חבר במפלגה, אינו זמין לפחות משעות הבוקר המאוחרות. המפלגה הגישה תלונה ביחידת הסייבר של המשטרה בטענה שזיהתה נסיון פריצה לאתר, דיווח ספי עובדיה בחדשות 10. בשבוע שעבר חשפנו בחדר 404 מספר פירצות אבטחה ופרטיות באתר. סגירת האתר כעת הביאה לחסימתה של פירצת אבטחה נוספת, שמדווחת כאן לראשונה, אשר חשפה פרטים אישיים רבים – ובהם שם מלא, ת”ז, גיל, ארץ מוצא, כתובת מגורים, מועד הצטרפות למפלגה, הצבעה או אי הצבעה בפריימריז ועוד – על חברי מפלגה וגם על חברים לשעבר שעזבו את המפלגה.

פרסום ראשון: מפלגת העבודה הגישה תלונה במשטרה לאחר שזוהה ניסיון פריצה למערך ההגנה של אתר המפלגה @sefiova

— חדשות 10 (@news10) July 9, 2017

תקציר הפרקים הקודמים: ביום שלישי, יום הפריימריז במפלגת העבודה, חשפנו כאן פירצת פרטיות, שמאפשרת לכל גולש להכניס כל תעודת זהות ולגלות אם בעליה הוא חבר מפלגת העבודה, מה שמו ובחלק מהמקרים מה מינו. בהמשך עדכנו שניתן גם לעקוף את מבחן אני-לא-רובוט (reCAPTCHA) באתר ולהוריד למחשב באמצעות סקריפט את מאגר חברי המפלגה המלא – שם, ת”ז ועבור חלק מהחברים מין. ביום רביעי דיווחנו כי במאגר החברים מופיעים גם אנשים שעזבו את המפלגה, ושהמפלגה משום מה לא מחקה את פרטיהם ממאגריה. באותו יום דיווחנו כי המפלגה חסמה אחת מהפירצות – זו שאיפשרה להוריד את המאגר המלא. ביום חמישי הבאנו את תגובת מפלגת העבודה, שלפיה “האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה”; “האתר של מפלגת העבודה הינו אתר מאובטח […] [המפלגה] ביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה”.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

אתר haavoda.com היה ממשק שסיפק גישה למסד הנתונים של המפלגה ממספר נקודות גישה, שחלקן פירצות, כלומר לא היו אמורות להיות פתוחות. אחת מהן נחסמה בעקבות חשיפתה. ביום חמישי המתכנת רן בר זיק רן ואני בדקנו פירצת אבטחה נוספת באתר, וזו כאמור התבררה כפעילה.

במסגרת הבדיקה, שביצענו על פרטיהם של אנשים שאישרו לנו לבודקם, גילינו שהמאגר מכיל שדות מידע רבים על כל חבר, אולם רובם נותרו ריקים. אחד השדות המסקרנים הוא שדה בשם newLikud, שמכיל את שמה של מפלגת הליכוד, אולם לא הצלחנו לברר את משמעותו. הוא היה ריק אצל האנשים שבדקנו, ובהם נועה, שעזבה את מפלגת העבודה והצטרפה לאחרונה לליכוד. “מקריפ”, אמרה נועה, שביקשה שלא נפרסם את שמה המלא, למראה הפרטים שמפלגת העבודה מחזיקה עליה, יותר משנה אחרי שעזבה. “שמירה של פרטי מידע אחרי שבחרתי לבטל חברות במפלגה מרגישה כמו ‘האח הגדול’, ולא אמורה לקרות במדינות מתוקנות”.