לא רק אלקטור: פרצת אבטחה בש"ס חשפה פרטים של מיליונים

האקרים בעלי ידע טכני מינימלי יכולים היו לעשות מניפולציה פשוטה בשורת ה-URL ולחדור לאפליקציה ולראות שמות, מספרי טלפון ועוד פרטים של מיליוני אזרחים - כך לפי הפודקאסט סייברסייבר

פרצת אבטחה חמורה.

פרטים כגון שמות, כתובות, מספרי טלפון ומקומות ההצבעה של מיליוני אזרחים נחשפו במסגרת פרצת אבטחה במאגר המידע שקמפיין הבחירות של ש"ס משתמש בו – כך פורסם הבוקר (א') בפודקאסט סייברסייבר של עידו קינן ונעם רותם. בנוסף, צוין, נחשף מידע על קשרי נישואים של המצביע.ה הפוטנציאלי.ת ועל ילדים בגירים של בני הזוג.

מערכת ניהול הבחירות של ש"ס כוללת מאגר מידע רחב היקף על כלל בעלי זכות ההצבעה בבחירות. האקר שפנה לפודקאסט טען שהוא הצליח למצוא פרצה במערכת. ארכיטקט התוכנה רן בר זיק אימת את הממצאים, ומצא כי מדובר בחולשת אבטחה ותיקה לבדיקת שגיאות במערכות אונליין (Debugger), שמאפשרת כניסה אל המערכת באמצעות כלי ששמו הוא דפדפן. בטור שכתב בדה מרקר ציין בר זיק כי מה שדרוש כדי לפרוץ למערכת הוא ידע טכני מינימלי. הפריצה נעשית באמצעות מניפולציה פשוטה בשורת ה-URL.

המערכת, שהוקמה על ידי חברה חיצונית וש"ס תחזקה אותה, מאפשרת לאנשי הקמפיין לפנות למצביעים פוטנציאליים, לנסות לשכנע אותם להצביע לש"ס ולתמרץ אותם להגיע אל הקלפי. ביום הבחירות, היא מאפשרת למשתמשים לעקוב אחרי אחוזי ההצבעה.

מרבית המשתמשים יכולים לראות רק את המידע על בעלי זכות הצבעה מהערים ומהרשויות המקומיות שהם פועלים בתחומן, אולם מנהל המערכת יכול לראות את כל המידע, נכתב.

בבחירות מועד ג': דליפת נתונים של 6.5 מיליון בעלי זכות הצבעה

כלל המפלגות המתמודדות מקבלות בתחילת מערכת הבחירות את פנקס הבוחרים, שכולל כמה פרטים מוגבלים של בעלי זכות ההצבעה, כולל שם ותעודת זהות. אלא שיש מפלגות שלא מסתפקות בזה והתקינו אפליקציות שמאפשרות לקבל מידע רב יותר על הבוחרים. אחת מהן היא אלקטור – מערכת שפותחה על ידי חברה מאשקלון בשם זה, שמתממשקת לרשתות החברתיות ומשתמשת בצ'טבוטים על מנת ליצור מאגר מצביעים פוטנציאליים. היא מבוססת על בינה מלאכותית וכוללת גם פונקציות המאפשרות פעולות של ניתוח. בין לקוחות המערכת נמצאת הליכוד, שעל פי הערכות המריצה לקלפי בבחירות מועד ג', שנערכו במרץ 2020, כ-60 אלף בוחרים – שהוסיפו לה שני מנדטים. מפלגה נוספת שהתגלה כי השתמשה במערכת היא ישראל ביתנו. בינואר אשתקד קבעה הרשות להגנת הפרטיות ששתי המפלגות לא פעלו לאבטחה מספקת של המידע בפרשת דליפת הנתונים של 6.5 מיליון בעלי זכות הצבעה מאפליקציית אלקטור.

מש"ס נמסר בתגובה כי היא "מפעילה תוכנת בחירות מקצועית ואמינה במשך שנים רבות, כמו כל יתר המפלגות בישראל, ומחזיקה מאגר מידע רשום כדין. כל המידע שמוחזק על ידי ש"ס נאסף על ידה כדין, ומוחזק ונשמר בהתאם להוראות החוק, תוך ליווי של מיטב מומחי האבטחה בישראל. היום בשעות הבוקר נמסר לנו אודות חשש לחדירה למאגר המידע שלא כדין. מיד עם קבלת הפנייה, ובעקבות המידע שנמסר לנו, ערכנו בדיקה מקיפה של מאגר המידע באמצעות מומחי אבטחה, ויישמנו מספר שינויים מיידיים, כך שכל המידע יישמר באופן מאובטח היטב. ש"ס ממשיכה בבדיקה מקיפה של מערכות מאגר המידע ותפעל ככל שיידרש, כנגד כל גורם שיימצא כי פעל בניגוד לדין".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים