פירצה חשפה חברי ליכוד (גם לשעבר) ואיפשרה להחדיר חברים פיקטיביים <סייברשקשוקה>

אתר “המטה הלאומי בליכוד” סבל מפירצות אבטחה ופרטיות, שבאמצעות מספר תעודת זהות איפשרו לברר אם אדם הוא חבר ליכוד בהווה (ובחלק מהמקרים, אם היה חבר בעבר) ולקבל פרטים אישיים שלו, וכן להוסיף חברים פיקטיביים. הפירצות התגלתו בשיתוף פעולה בין חדר 404 ורן בר זיק מ”אינטרנט ישראל“, שפרסם פוסט טכני מפורט בנושא. בעקבות פנייתנו למטה הלאומי, האתר הוסר נכון לשעות הצהריים אחרי פנייתנו למטה הלאומי, ומבדיקה של רן בר זיק ומומחה סייבראבטחה נוסף הפירצות אינן זמינות עוד.

[עדכון: תגובת הליכוד המעודכנת נוספה בתחתית הפוסט]

פירצות דומות גילינו בשנה שעברה באתר מפלגת העבודה ובאתר הבית היהודי. בעבר חשפתי פירצות אבטחה באתרים של עמרם מצנע ממפלגת העבודה ושאול מופז מקדימה. כל הפירצות התגלו על ידי משתמשים או מומחי סייבראבטחה פרטיים, ולא על ידי המפלגות או רשויות הפרטיות והסייבראבטחה הממלכתיים.

פירצת הפרטיות באתר המטה הלאומי, שהיתה קיימת באתר לפחות מנובמבר 2017, גלויה לעין ולא דורשת ידע או שימוש בכלים מקצועיים. בדף הבית של האתר היה שדה שקורא למתגלצ’ים “בדוק מצב התפקדותך, הזן תעודת זהות”. אם המסת”ז שלו לא נמצא במאגר, הוא יקבל הודעה שלפיה “אינך רשום\ה בספר הליכוד. יש למלא טופס התפקדות”, וטופס התפקדות שיש למלא. לעומת זאת, אם המסת”ז כן במאגר, הגולש יקבל טופס התפקדות כשכל פרטיו מלאים שם.

בבדיקה שערכנו למסת”זים שונים באישור בעליהם, גילינו שהמאגר מכיל הן חברי ליכוד והן אנשים שכבר לא חברים בליכוד, ומחזיר עבור חברים שונים תוצאות שונות – לעתים חושף פרטים אישיים מפורטים על חבר המפלגה כפי שהוזנו בטופס ההתפקדות (שם מלא, שנת לידה, מין, שם האב, מצב משפחתי, ארץ לידה/שנת עלייה, כתובת מגורים, מספרי טלפון ואימייל), ולעתים רק מאשר שהוא חבר מפלגה. שני סוגי המידע לא אמורים להיות חשופים לציבור – אפילו המידע על חברות במפלגה נחשב לפי חוק הגנת הפרטיות למידע רגיש, ויש לכל מי שמחזיק בו אחריות לשמור שלא ידלוף.

דניאל, חבר מפלגה לשעבר שביקש לא לפרסם את שמו המלא, מספר: “הייתי פקוד לליכוד במשך שנתיים עד לפני 5 שנים, לא התפקדתי דרך המטה הלאומי אלא דרך קבוצה אחרת”. כשהזנו את מסת”זו באתר קיבלנו פרטים אישיים עליו – שם מלא, שנת לידה, כתובת מגורים וטלפון נייד וביתי. בדיקה של מסת”זי שני חברי מפלגה, אחד נוכחי ואחד לשעבר, החזירו הודעה שלפיה “התפקדות נמצאה תקינה. אנא עדכן את כתובת המייל שלך”, ללא כל פרטים מזהים.

פרטיו של חבר מפלגת הליכוד חשופים בפירצה באתר המטה הלאומי בליכוד חדר 404 הסתיר את הפרטים המזהים

כניסה ידנית תאפשר להוריד את המאגר רשומה אחרי רשומה. לעומתה, שימוש בכלים מקצועיים מאפשר הורדה של המאגר המלא באמצעות שאילתה שרצה על כל הטווח האפשרי של המסת”זים ומורידה את כל הפרטים שהאתר מספק, זאת משום שאין שם שום הגנת כוח-גס (brute-force), כמו הגבלת מספר שאילתות ברצף, השהייה אחרי מספר שאילתות, חסימת שאילתות רבות מכתובת IP מסויימת או קפצ’ה. ניתן גם, כאמור, להשתיל במאגר משתמשים פיקטיביים, וכך לשבש את פעילות המטה או לסבך אנשים שלא מודעים לכך עם המפלגה ומוסדותיה.

דוגמאות לדרכים לניצול לרעה של מידע על חברי מפלגה:

לך? לא. מאגר מידע מלא עם פרטים מלאים? גן עדן לסקאמרים. אני אדגים.
– שלום, שוף, מדבר משה כהן מתנועת הליכוד.
״כן?״
– מספר תעודת הזהות שלך הוא 124 ואתה גר במעלה מכמש 12?
״כן, בוודאי״.
– כרטיס האשראי שלך לא מעודכן וחברותך בתנועה תפוג. תוכל לתת לי שוב את פרטיו?
וזו רק דוגמה קטנה.

— Ran Bar-Zik (@barzik) May 1, 2018

כדי לטרגט אותם בפרסומות, למכור את הרשימה למפלגות מתחרות, לפטר אותם או להימנע מלהעסיק אותם כי אתה מתנגד לליכוד, לפרסם את פרטיהם למרות שהם רצו להסתיר את התפקדותם מהמשפחה/חברים/סביבה

— עידוק (@idokius) May 1, 2018

ביקשנו מדובר הליכוד התייחסות לפירצה, וציינו שאף שהאתר לא שייך למפלגה אלא למטה הלאומי בליכוד, למפלגה יש אחריות על הדרך שבה המידע הזה מועבר ומנוהל. הדובר השיב: “כפי שאמרת, לא מדובר באתר הליכוד. להבנתי מדובר באתר עצמאי של המטה הלאומי והמידע שמופיע שם הוא של מתפקדים דרך האתר שלהם”. עדכנו את הדובר כי באתר יש גם מידע על חברים שלא התפקדו דרך האתר. נעדכן אם הוא ירחיב או יתקן את תגובתו הראשונית.

[עדכון 20:43] היועץ המשפטי של הליכוד, עו”ד אבי הלוי, מסר בתגובה:

לא מדובר באתר הליכוד ולא באתר שמנוהל על ידי מנהלת הליכוד. מדובר באתר עצמאי של קבוצת חברים בליכוד ולמיטב ידיעתנו המידע שמצוי בו נוגע למי שהתפקד דרך אתר זה.

הליכוד מנהל את מאגרי המידע שברשותו בהתאם לנהלים ותוך הקפדה יתרה על פרטיותם של חברי התנועה.

הליכוד ישוב וירענן את הנחיותיו בקרב פעילי המפלגה שעשויים להחזיק במאגרי מידע מסוג זה

[\עדכון]

פנינו למנהל המטה הלאומי, ישי מרלינג, והוא דאג להסרה מיידית של האתר, שנכון למועד הפרסום אינו זמין למתלגצ’ים. נפרסם את תגובת המטה כשתגיע.

סייברשקשוקה הוא מדור על סייבראבטחה בישראל יש לכם סיפור בנושא? ספרו לי. לוגו המדור חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)

תגובות

• מה זה פה?

  חדר 404 של עידו קינן הוא מגזין תרבות דיגיטלית, טכנולוגיה וחיי רשת. הקליקו למידע נוסף »

  Room 404 by Ido Kenan is an Israeli based digital culture magazine. Click for more info in English »

• רוצה להפיק פודקאסט?

  

• המלצת סייברסייבר (מ)

  

• פרנסה

  

• לאחרונה בחדר 404

  • ילד, רובוט התמיכה הרגשית שלך עומד למות האחראי על האינטרנט בגלצ
  • שליחות קטלנית בלי ביטוח רפואי האחראי על האינטרנט בגלצ
  • ה-NFL מזייפים את אלישה קיז, קנדה אייר מאשימים את הצ’טבוט ומפסידים האחראי על האינטרנט בגלצ
  • שתיקטוק האחראי על האינטרנט בגלצ
  • איך מדרגים בעברית?
  • שקר הביטקוין, קיץ חם במקרר של שופרסל, הצופן היווני ועוד עדכוני סייברסייבר
  • זום מסתבכת עם העובדים והמשתמשים האחראי על האינטרנט בגלצ
  • אילן מאסק ממשיך לחטוף יוזרים בטוויטר
  • ברכות לסופרת בינה מ. על כניסתה לרשימת רבי המכר של קינדל
  • פסיקה עלולה לתת למו”לים שליטה מוחלטת על השאלת ספרים דיגיטליים בספריות
  • תומכי נטלי דדון מבצעים לינצ’טרנט שנמוך דירוג בבית-קפה הלא-נכון
  • זעם נגד תרגום המכונה האחראי על האינטרנט בגלצ
  • מתמונות חתולים לפוליצר – חדשות באזזפיד נסגרים האחראי על האינטרנט בגלצ
  • תיק-תק לחסום את טיקטוק האחראי על האינטרנט בגלצ
  • זו תרבות ביטול על כלום האחראי על האינטרנט בגלצ