🗳️ פירצה חשפה חברי ליכוד (גם לשעבר) ואיפשרה להחדיר חברים פיקטיביים 🍳🍅 <סייברשקשוקה>

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

אתר “המטה הלאומי בליכוד” סבל מפירצות אבטחה ופרטיות, שבאמצעות מספר תעודת זהות איפשרו לברר אם אדם הוא חבר ליכוד בהווה (ובחלק מהמקרים, אם היה חבר בעבר) ולקבל פרטים אישיים שלו, וכן להוסיף חברים פיקטיביים. הפירצות התגלתו בשיתוף פעולה בין חדר 404 ורן בר זיק מ”אינטרנט ישראל“, שפרסם פוסט טכני מפורט בנושא. בעקבות פנייתנו למטה הלאומי, האתר הוסר נכון לשעות הצהריים אחרי פנייתנו למטה הלאומי, ומבדיקה של רן בר זיק ומומחה סייבראבטחה נוסף הפירצות אינן זמינות עוד.

[עדכון: תגובת הליכוד המעודכנת נוספה בתחתית הפוסט]

פירצות דומות גילינו בשנה שעברה באתר מפלגת העבודה ובאתר הבית היהודי. בעבר חשפתי פירצות אבטחה באתרים של עמרם מצנע ממפלגת העבודה ושאול מופז מקדימה. כל הפירצות התגלו על ידי משתמשים או מומחי סייבראבטחה פרטיים, ולא על ידי המפלגות או רשויות הפרטיות והסייבראבטחה הממלכתיים.

פירצת הפרטיות באתר המטה הלאומי, שהיתה קיימת באתר לפחות מנובמבר 2017, גלויה לעין ולא דורשת ידע או שימוש בכלים מקצועיים. בדף הבית של האתר היה שדה שקורא למתגלצ’ים “בדוק מצב התפקדותך, הזן תעודת זהות”. אם המסת”ז שלו לא נמצא במאגר, הוא יקבל הודעה שלפיה “אינך רשום\ה בספר הליכוד. יש למלא טופס התפקדות”, וטופס התפקדות שיש למלא. לעומת זאת, אם המסת”ז כן במאגר, הגולש יקבל טופס התפקדות כשכל פרטיו מלאים שם.

בבדיקה שערכנו למסת”זים שונים באישור בעליהם, גילינו שהמאגר מכיל הן חברי ליכוד והן אנשים שכבר לא חברים בליכוד, ומחזיר עבור חברים שונים תוצאות שונות – לעתים חושף פרטים אישיים מפורטים על חבר המפלגה כפי שהוזנו בטופס ההתפקדות (שם מלא, שנת לידה, מין, שם האב, מצב משפחתי, ארץ לידה/שנת עלייה, כתובת מגורים, מספרי טלפון ואימייל), ולעתים רק מאשר שהוא חבר מפלגה. שני סוגי המידע לא אמורים להיות חשופים לציבור – אפילו המידע על חברות במפלגה נחשב לפי חוק הגנת הפרטיות למידע רגיש, ויש לכל מי שמחזיק בו אחריות לשמור שלא ידלוף.

דניאל, חבר מפלגה לשעבר שביקש לא לפרסם את שמו המלא, מספר: “הייתי פקוד לליכוד במשך שנתיים עד לפני 5 שנים, לא התפקדתי דרך המטה הלאומי אלא דרך קבוצה אחרת”. כשהזנו את מסת”זו באתר קיבלנו פרטים אישיים עליו – שם מלא, שנת לידה, כתובת מגורים וטלפון נייד וביתי. בדיקה של מסת”זי שני חברי מפלגה, אחד נוכחי ואחד לשעבר, החזירו הודעה שלפיה “התפקדות נמצאה תקינה. אנא עדכן את כתובת המייל שלך”, ללא כל פרטים מזהים.

פרטיו של חבר מפלגת הליכוד חשופים בפירצה באתר המטה הלאומי בליכוד 📝 חדר 404 הסתיר את הפרטים המזהים

כניסה ידנית תאפשר להוריד את המאגר רשומה אחרי רשומה. לעומתה, שימוש בכלים מקצועיים מאפשר הורדה של המאגר המלא באמצעות שאילתה שרצה על כל הטווח האפשרי של המסת”זים ומורידה את כל הפרטים שהאתר מספק, זאת משום שאין שם שום הגנת כוח-גס (brute-force), כמו הגבלת מספר שאילתות ברצף, השהייה אחרי מספר שאילתות, חסימת שאילתות רבות מכתובת IP מסויימת או קפצ’ה. ניתן גם, כאמור, להשתיל במאגר משתמשים פיקטיביים, וכך לשבש את פעילות המטה או לסבך אנשים שלא מודעים לכך עם המפלגה ומוסדותיה.

דוגמאות לדרכים לניצול לרעה של מידע על חברי מפלגה:

ביקשנו מדובר הליכוד התייחסות לפירצה, וציינו שאף שהאתר לא שייך למפלגה אלא למטה הלאומי בליכוד, למפלגה יש אחריות על הדרך שבה המידע הזה מועבר ומנוהל. הדובר השיב: “כפי שאמרת, לא מדובר באתר הליכוד. להבנתי מדובר באתר עצמאי של המטה הלאומי והמידע שמופיע שם הוא של מתפקדים דרך האתר שלהם”. עדכנו את הדובר כי באתר יש גם מידע על חברים שלא התפקדו דרך האתר. נעדכן אם הוא ירחיב או יתקן את תגובתו הראשונית.

[עדכון 20:43] היועץ המשפטי של הליכוד, עו”ד אבי הלוי, מסר בתגובה:

לא מדובר באתר הליכוד ולא באתר שמנוהל על ידי מנהלת הליכוד. מדובר באתר עצמאי של קבוצת חברים בליכוד ולמיטב ידיעתנו המידע שמצוי בו נוגע למי שהתפקד דרך אתר זה.

הליכוד מנהל את מאגרי המידע שברשותו בהתאם לנהלים ותוך הקפדה יתרה על פרטיותם של חברי התנועה.

הליכוד ישוב וירענן את הנחיותיו בקרב פעילי המפלגה שעשויים להחזיק במאגרי מידע מסוג זה

[\עדכון]

פנינו למנהל המטה הלאומי, ישי מרלינג, והוא דאג להסרה מיידית של האתר, שנכון למועד הפרסום אינו זמין למתלגצ’ים. נפרסם את תגובת המטה כשתגיע.


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי. לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)

תגובות

תגובות

Powered by Facebook Comments

תגובות

תגובה אחת לפוסט “🗳️ פירצה חשפה חברי ליכוד (גם לשעבר) ואיפשרה להחדיר חברים פיקטיביים 🍳🍅 <סייברשקשוקה>”

  1. Nachum37 on 1 במאי, 2018 13:40

    פדיחה. מישהו שלמד “בניית אתרים” חוטף עכשיו על הראש

פרסום תגובה