משרד התחבורה רוצה לעקוב אחרי כל הנהגים כל הזמן 📻 האחראי על האינטרנט בגלצ 15.2.2020

הקליקו לארכיון האחראי על האינטרנט

הצביעו אלקטור!

בפודקאסט סייברסייבר חשפנו השבוע פירצת אבטחה חמורה באפליקציית ניהול הבחירות שהליכוד מקדם, אלקטור. הפירצה חשפה פרטים של 6.4 מיליון ישראלים – ספר הבוחרים המלא והעדכני של מדינת ישראל. רשות הפרטיות במשרד המשפטים, בליווי מחלקת הסייבר בפרקליטות המדינה, פתחה בחקירה ושלחה מפקחים למשרדי אלקטור.

בתגובה לגיקטיים, הליכוד זרקו את האחריות על אלקטור, ובאותה נשימה הודיעו שימשיכו להשתמש ביישומון הדולף:

“אלקטור” היא ספק פרטי וחיצוני אשר מעניקה את שירותיה למספר מפלגות, והאחריות המקצועית והמשפטית היא עליה. מרגע שהתברר שהחברה לא עומדת בסטנדרט האבטחה המצופה, פנתה הליכוד לחברת אבטחת מידע מובילה שתבצע בדיקות מחמירות למערכת.

בניגוד לתגובה זו, ברשות הפרטיות הבהירו כי

האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות, לרבות אבטחת המידע שבפנקס הבוחרים, מוטלת בראש ובראשונה על המפלגות. גם ובמיוחד כאשר הן נעזרות בספקי מיקור חוץ, והן עלולות לשאת באחריות פלילית או אזרחית במקרה של הפרת הוראות חוק הגנת הפרטיות.

תגובת אלקטור הגיעה מתחת לגלגלי האוטובוס של הליכוד: “מדובר באירוע נקודתי שטופל באופן מיידי, ובעקבותיו תוגברה האבטחה באופן משמעותי”.

מאז החשיפה, האפליקציה ירדה לסירוגין, ונכון לעכשיו היא פעילה. המפלגה ממשיכה להשתמש באפליקציה.

עוד לפני החשיפה, עו”ד שחר בן מאיר הגיש עתירה לוועדת הבחירות נגד שימוש הליכוד בתוכנה, בטענה שהיא מספקת גישה אסורה לספר הבוחרים. ואכן, הרישום לאפליקציה הצריך רק פנייה למספר וואטסאפ ייעודי ובקשת סיסמה, כשהמפעילים לא בודקים את זהות המבקש. עם קבלת הסיסמה, ניתן לבצע חיפוש במאגר הבוחרים המלא לפי ת”ז, או לפי שם ושם משפחה, או לפי חלק משם וחלק משם משפחה (למשל, החיפוש “ב נתניהו” החזיר מספר אנשים שהאות ב’ מופיעה בשמם הפרטי ושם משפחתם נתניהו, ובהם ראש הממשלה בנימין נתניהו). העתירה ממתינה להחלטת הוועדה.

פירצת אבטחה נוספת בליכוד נחשפה השבוע על ידי שלומי טורג’מן. אתר bibiba.co.il, שהליכוד הקימו לשם רישום לאירועי הבחירות של המפלגה, דלף מידע על 6000 מצביעי ותומכי הליכוד, כולל מידע רגיש על נכויות ומוגבלויות שלהם. טורג’מן גילה שניתן לבצע חיפוש ממוקד של אנשים באמצעות שם פרטי או שם משפחה, וכן לדפדף בין כל אישורי ההשתתפות באירועים, שקיבלו כתובות עם מספרים עוקבים. היועמ”ש של הליכוד, עו”ד אבי הלוי, התעלם בתגובתו מהפירצה ולרלר טענה כללית ולא מבוססת שלפיה “הפעילות הדיגיטלית של הליכוד מתנהלת על פי חוק ובפיקוח היועץ המשפטי של תנועת הליכוד והנחיותיו”.

ראש הממשלה בנימין נתניהו מקדם את אפליקציית אלקטור בסרטון תעמולה
ראש הממשלה בנימין נתניהו מקדם את אפליקציית אלקטור בסרטון תעמולה

ובינתיים, משהו רקוב גם בממלכת דנמרק: פירצת אבטחה במערכת תשלום המסים המקוונת של המדינה חשפה מספרי תעודות זהות של 1.26 מיליון אנשים, חמישית מאוכלוסיית המדינה. הכניסה למערכת התבצעה באמצעות מסת”ז, שהתווספו בגלל תקלה לשורת הכתובת. משם המספרים נאספו על ידי מערכות אנליטיקה שפועלות על האתר.

מסת”זים דניים מכילים מידע אישי – הם מורכבים מעשר ספרות, כשהשש הראשונות הן תאריך הלידה, והסיפרה האחרונה מציינת את המגדר (זוגי לאישה, אי-זוגי לגבר). חשיפתם עלולה גם לאפשר גניבת זהות וביצוע פעולות בשם אותם אנשים.

את הפירצה גילו UFST (הרשות הדנית לפיתוח ופישוט, Udviklings-og Forenklingsstyrelsen במקור). הם ביקשו להרגיע את הציבור ואמרו שככל הנראה, המידע לא דלף החוצה אלא הגיע רק לחברות המפעילות את שירותי האנליטיקה – גוגל ואדובי. ומה יותר מרגיע מלגלות שהמידע שלך דלף לחברת גוגל?

המכונית תלשין עלינו

ואם דליפת ספר הבוחרים לא מספיקה, המדינה עובדת עכשיו על מזימה למעקב המוני אחרי כל כלי הרכב בארץ, מדווחים תומר הדר ואודי עציון.

המטרה המוצהרת של הזוממים היא היערכות להחלפת מערכת המיסוי הפרוגרסיבי על רכישת רכב לפי כמות פליטת המזהמים שלו במערכת לגביית מיסים לפי נסועה (קילומטרז’) בפועל, אגרת גודש וכיוצא בזה. לצורך כך, משרד התחבורה הוציא באמצעות נתיבי איילון קול קורא לחברות להצעת מערכת ניטור שתותקן בכל הרכבים בארץ, ואשר תוכל לעקוב אחרי מיקום הרכב בכל זמן ולהעביר את המידע למדינה.

שרה נתניהו ובעלה, ראש הממשלה בנימין נתניהו, בחנוכת רכבת העמק 📸 קובי גדעון, לע"מ
שרה נתניהו ובעלה, ראש הממשלה בנימין נתניהו, בחנוכת רכבת העמק 📸 קובי גדעון, לע”מ

לפי מסמכי הקול קורא, יהיו מערכות ניטור שיותקנו במכוניות ויהיו כאלו שיגיעו מובנים מהיצרן. המערכות יוכלו לאכן כל רכב בכל מקום במדינה, ולתעד את המועדים שבהם הוא נסע, ולאן. יחידות המעקב הנבחרות יהיו עמידות בפני ניתוק, ואם ינותקו ישלחו התרעה למרכז הבקרה. היחידות יהיו חייבות להיות כאלה שניתנות להתקנה סמויה, כי בניגוד לאזרחים, למדינה מותר להסתיר דברים.

המשמעות היא שהמדינה תחזיק מאגר סופר-רגיש על מיקומם ותנועותיהם של אנשים, מידע שאפשר לגזור ממנו מידע רגיש על אורח חייהם ופעילותם של אנשים. כמובן שהמאגר הזה לא ידלוף ולא ייעשה בו שימוש לרעה.

אצבע משולשת לזכויות נחקרים

אם נעלתם את הסלולרי או המחשב שלכם באמצעות טביעת אצבע ואתם חשודים בפשע, שוטרים יכולים לפנות לחברת סייברסייבר שמתמחה בפריצת סלולריים, כמו סלברייט, אבל זה לוקח זמן וכסף. השיטה הקלה יותר, שמשמשת את המשטרה מזה שנה, היא להשתמש בכוח לאלץ אתכם לפתוח את הנעילה. 

אין חוק שמתיר לשוטר להפעיל כוח כדי לקבל סיסמה ביומטרית. לכן בחטיבת החקירות של המשטרה, בשיתוף עם המשנה ליועץ המשפטי לממשלה, עמית מררי, גיבשו נוהל המבוסס על החוק המתיר להפעיל כוח לצורך כניסה לבית כדי לבצע בו חיפוש בכפוף לצו בית משפט.

אצבע. תמונה: Daniel Horacio Agostini (cc-by-nc-nd)
אצבע. תמונה: Daniel Horacio Agostini (cc-by-nc-nd)

הנוהל קיבל חותמת כשרות בתחילת 2019. חשוד בסחר ב-37 גרם חשיש סירב לתת את האצבע במסגרת זכות השתיקה, שהיא חלק מהזכות להימנע מהפללה עצמית. המשטרה פנתה לבית משפט השלום, שם פסקה השופטת אפרת בוסני נגד המשטרה. בערעור לבית המשפט המחוזי ת”א הפכה השופטת טלי חיימוביץ’ את ההחלטה, ואישרה שימוש בכוח סביר להוציא סיסמה ביומטרית מחשוד.

הנוהל שנוי במחלוקת בקרב משפטנים, והשלכותיו מסוכנות. כפי שדיווח ג’וש בריינר, שבועיים אחרי הפסיקה של המחוזי, הובא בפני בית משפט השלום בראשל”ץ תיק שבו חמישה בלשי להב 433 ניסו להוציא סיסמה ביומטרית בכוח מחשוד בפרשת טלגראס, תוך שהם מאיימים “נשבור לך את אצבע אם לא תפתח את המכשיר”. אם החשוד יתלונן למח”ש, הוא יגלה שגם לשם זלג הנוהל הזה, ומשמש לחקור שוטרים שסרחו.


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ 🎵 אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי 😇 תודה להדר בן יהודה על העזרה באיסוף הידיעות 🔧

תגובות

פרסום תגובה