הבית היהודי שכח לסגור הדלת 🍳🍅 סייברשקשוקה

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

אמ;לק: פרטי חברי “הבית היהודי” היו פרוצים לכל דרך אתר המפלגה • המפלגה והרשות להגנת הפרטיות התעלמו יותר מחודש מדיווח בנושא • במפלגה טוענים שהמידע שנחשף ממילא פתוח לציבור, וחסמו היום את הפירצות

ספר הבוחרים של מפלגת “הבית היהודי” בראשות נפתלי בנט ניתן היה להורדה, בגלל פירצות פרטיות חמורות באתר המפלגה. הפירצות התגלו בבדיקה יזומה שערכנו, רן בר זיק מהבלוג “אינטרנט ישראל” ואני (פירוט טכני של הפירצות אצל בר-זיק). הפירצות חשפו זהות של חברי המפלגה, ועלולות להוות עבירה על חוק הגנת הפרטיות. בעקבות פנייתנו חסמה המפלגה את הפירצה המשמעותית מביניהן.

בשער אתר הבית היהודי הופיעה הפניה לבדיקת חברות במפלגה. בעמוד הבדיקה, בכתובת ysvote.co.il/bait, שבראשו נכתב “בחירות ליו”ר מפלגת הבית היהודי”, התבקשו המצביעים הפוטנציאליים להזין מספר תעודת זהות ולהקליק על כפתור. האתר החזיר תשובה – האם המסת”ז קיים בספר הבוחרים או לא, ואם הוא קיים, גם את שם החבר/ה ועיר המגורים שלו/שלה.

בדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך

בדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך

בעמוד בדיקת החברות במפלגה נמצאו פירצות הפרטיות. ראשית, העמוד לא הכיל שום הגנה לווידוא הבעלות של השואל על המסת”ז. פירצה זו מאפשרת לכל גולש לבדוק באתר תעודת זהות של כל אדם, ולגלות אם הוא חבר במפלגה.

העמוד גם לא מוגן מפני מתקפת כוח-פראי (brute force attack), שבה גולש יכול לשלוח שאילתות בזו אחר זו, וגם לא ממתקפה דומה של בוט, שיכול להריץ כמות גדולה של שאילתות בזמן קצר. brute force היא אחת מההתקפות הוותיקות ביותר בתחום המחשוב, וידועה מזה כ-30 שנה. ישנן הגנות רבות שניתן ליישם בקלות על מנת למנוע מתקפה כזו, למשל הטמעת קפצ’ה (אותיות מעוותות, “אני לא רובוט”), הגבלת מספר השאילתות שאפשר לשאול בפרק זמן מוגדר, או מניעת בקשות מרובות מכתובת IP בודדת. בהיעדר ההגנות, הפירצה הזאת איפשרה להאקרים לשלוח, ידנית או באמצעות בוט, שאילתות על כל טווח תעודות הזהות הישראלי, ולהוריד את ספר הבוחרים המלא של המפלגה.

אבטחת המידע של העמוד כל כך עלובה עד שהוא אפילו לא אובטח ב-SSL, כך שהשאילתות והתשובות נשלחו בטקסט נקי ובלתי מוצפן (cleartext). באופן זה, הן חשופות לספק האינטרנט שדרכו הגולש מחובר לאתר, וכן לכל מי שמנטר את התעבורה אל האתר וממנו, מהאקרים ועד ה-NSA.

תשובה שלילית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים)

תשובה חיובית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים)

חוק הגנת הפרטיות מגדיר “נתונים על דעותיו ואמונתו” של אדם – שהשתייכות למפלגה נמנית עליהם – כ”מידע רגיש”. מאגר מידע רגיש חייב ברישום אצל רשם מאגרי המידע, והחוק מטיל אחריות חוקית לאבטח את המידע בו: “בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”. אבטחת המידע מוגדרת בין השאר כ”הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין”.

ביולי דיווחנו על פירצה דומה (לצד פירצות נוספות) באתר מפלגת העבודה, שקיימה אז את הפריימריז שלה. המפלגה חסמה חלק מהפירצות, ולבסוף סגרה כליל את עמוד בדיקת החברות. עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות הסביר לנו אז כי “העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם. הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 ש”ח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו”.

בר-זיק דיווח למפלגת הבית היהודי על הפירצות ב-14/11, אולם המפלגה לא השיבה לפנייתו, ובחודש שעבר מאז הפנייה לא סגרה את הפירצות ולא הסירה את העמוד, אף שהבחירות ליו”ר המפלגה התקיימו לפני יותר משמונה חודשים. בר-זיק גם פנה פעמיים, ב-21/11 וב-27/11, לעו”ד עלי קלדרון, הממונה על הפיקוח ברשות להגנת הפרטיות (לשעבר רמו”ט), הרגולטור שאמור לאכוף שמירה על פרטיות במאגרי מידע, וזה לא השיב ולא הביא לסגירת הפירצות.

אתמול ביקשתי תגובה ממפלגת הבית היהודי. הבוקר עמוד הבית של האתר כבר היה מעודכן עם כלי חדש לבדיקת חברות במפלגה. הפירצות נחסמו, וכעת צריך לעבור ריקפצ’ה כדי להציג שאילתה. עם זאת, עדיין אפשר לבדוק כל מסת”ז, ולגלות אם בעליו הוא חבר המפלגה, מה שמו, באיזו עיר הוא גר ומה איזור הבחירה שלו.

בדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים)

תשובה חיובית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים) תשובה שלילית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך

תגובות

ממפלגת הבית היהודי נמסר בתגובה:

אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים ופרטי המתפקדים חסויים ונשמרים במחשבי המפלגה.
הקישור שצורף לשאלת הכתב, ישב על ספריה ניסיונית זמנית באתר חברת התוכנה ובעקבות פניית הכתב הקישור הוסר.
הקישור כלל אישור לספר בוחרים ישן בלבד שאיננו בתוקף וללא פרטיהם האישיים של המתפקדים. אלו פרטים שפתוחים בפני הציבור ואינם חסויים.

הערות לתגובה:

“אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים” – לא, הוא לא, כפי שאפשר לראות מהפירצות ומהעובדה שאפילו SSL לא היה שם.

“פרטי המתפקדים חסויים ונשמרים במחשבי המפלגה” – וכמו כן היו זמינים לכל גולש דרך עמוד בדיקת החברות הפרוץ.

“הקישור שצורף לשאלת הכתב, ישב על ספריה ניסיונית זמנית באתר חברת התוכנה ובעקבות פניית הכתב הקישור הוסר” – זה עמוד בדיקת חברות במפלגה שלונקק מדף הבית הרשמי של המפלגה, לא ממש מעניין אותי איפה הוא יושב ומי מפעיל אותו עבור המפלגה. אגב, הספריה הזאת כל כך זמנית שהפירצות קיימות לפחות מאוגוסט השנה, ואפשר להניח שאף מוקדם יותר, לאור העובדה ששימשה לבדוק חברות במפלגה לצורך השתתפות בבחירת היו”ר בסוף אפריל.

“הקישור כלל אישור לספר בוחרים ישן בלבד שאיננו בתוקף וללא פרטיהם האישיים של המתפקדים. אלו פרטים שפתוחים בפני הציבור ואינם חסויים” – אם מדובר בספר בוחרים ישן, שאינו בתוקף ואין בו פרטים אישיים של המתפקדים, והמידע פתוח בפני הציבור – מדוע הסירה המפלגה את העמוד, כשהיא פוגעת ביכולתו של הציבור להשיג את המידע? אם הפרטים הללו אכן פתוחים בפני הציבור, אשמח לקבל מהמפלגה עותק של ספר הבוחרים המלא שלה. הכתובת שלי: ido@room404.net.

עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות התייחס גם הוא לטענה הזאת:

המידע על האם אדם מסוים הוא חבר מפלגה הוא מידע אישי שיכול להוות גם שיוך פוליטי. עצם החשיפה שלו היא פגיעה בפרטיות. עצוב לשמוע שעוד מפלגה פוליטית לא עומדת בהוראות חוק הגנת הפרטיות, הקובעות כי על בעל מאגר מידע למנוע גישה לא מורשית.

בין אם מדובר ברשימה עתיקה ובין אם לא, ובין אם מדובר בספריה נסיונית ובין אם לא, מדובר במחדל אבטחה שיכול להוביל למאסר של מנהלי המאגר.

זו לא הפעם הראשונה שפוליטיקאים מפקירים את הפרטיות שלנו, ואם זו רמת האבטחה שהם מפעילים על מאגרים שלהם, אני אופתע אם הם יקדמו חוקים להגנה על מידע פרטי.

המפלגה לא התייחסה לשאלה על התעלמותה מהדיווח של בר-זיק לפני חודש.

מהרשות להגנת הפרטיות נמסרה האין-תגובה “איננו מתייחסים לנושא הספציפי, ומכל מקום הרשות להגנת הפרטיות אינה מגיבה בנושאי אכיפה עד לתום הליכים וגיבוש מסקנות”.

גם הרשות לא התייחסה לשאלה על התעלמותה מהדיווח של בר-זיק לפני חודש.

מהרשות הלאומית להגנת הסייבר נמסר אחה”ץ, אחרי הפרסום:

אין ספק כי הנושא מהווה בעיית אבטחה.
לצערנו נראה כי האתר כבר לא זמין אך עברנו על הדו”ח באתרכם ונראה כי נאסף מספיק מידע על מנת לפנות לבעלי האתר ולפעול לפתרון הבעיה.

• הפוסט עודכן לאחרונה ב-17/12/2017


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי.

לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)


תגובות

תגובה אחת לפוסט “הבית היהודי שכח לסגור הדלת 🍳🍅 סייברשקשוקה”

  1. דבר אחר on 14 בדצמבר, 2017 15:34

    SSL לא היה עוזר מכיוון שהם השתמשו ב get.

פרסום תגובה