חשש של עובדים: ישראל משתמשת בווטסאפ למעקב אחר פלסטינים
מהנדסים במטא הזהירו את החברה שפגיעות בווטסאפ מאפשרת למדינות יכולות לפקח על צ'טים ● אנשי הצוות חוששים שישראל משתמשת בדרך זו כדי לבחור יעדי התנקשות בעזה
האם ממשלת ישראל משתמשת בווטסאפ למעקב אחרי פלסטינים? עובדים במטא, הבעלים של אפליקציית המסרים המיידיים, חוששים שהתשובה לכך חיובית. במרץ השנה, צוות האבטחה של ווטסאפ פרסם אזהרה פנימית לעמיתיו: למרות ההצפנה החזקה של התוכנה, המשתמשים נותרו פגיעים בצורה מסוכנת, בשל חשש ממעקב ממשלתי.
על פי הערכת האיומים, שפורסמה בראשונה בסוף השבוע ב-The Intercept, תוכן השיחות בין שני מיליארד משתמשי האפליקציה נותר מאובטח, אולם סוכנויות ממשלתיות "עוקפות את ההצפנה שלנו", כתבו המהנדסים, כדי להבין אילו משתמשים מתקשרים זה עם זה, מיהם חברי הקבוצות הפרטיות ואולי אפילו מה מיקומם.
הפגיעות מבוססת על "ניתוח תנועה" – טכניקת ניטור רשת רבת שנים, שנסמכת על סקירת תעבורת אינטרנט בהיקף עצום. לפי המסמך, ווטסאפ היא לא פלטפורמת ההודעות היחידה שחשופה, אבל "הבעלים של ווטסאפ, מטא, צריכה להחליט במהירות אם לתעדף את הפונקציונליות של אפליקציית הצ'ט שלה – או את הבטיחות של פלח קטן, אך פגיע, של המשתמשים שלה… ניצול מתמשך של חולשות אלה מביא את המשתמשים לסיכון".
ברקע המלחמה המתמשכת בעזה, אזהרת האיום העלתה אפשרות מטרידה בקרב חלק עובדים, שהביעו חשש שישראל מנצלת את נקודת התורפה הזו, כחלק מתוכניתה לעקוב אחר פלסטינים מעקב דיגיטלי, ועל בסיסו להחליט במי לפגוע ברצועת עזה – כך אמרו ארבעה מהם לאתר.
"לווטסאפ אין דלתות אחוריות ואין לנו ראיות לחולשות באופן שבו היא עובדת", מסרה דוברת מטעם מטא. הדוברת אמרה כי המסמך "לא משקף פגיעות בווטסאפ", אלא רק "סיכון תיאורטי" ולא ייחודי לאפליקציה זו. היא לא ענתה כשנשאלה האם החברה בדקה אם ישראל מנצלת את החולשה הזו.
"צפייה בספק דואר שמעביר מעטפה אטומה"
על אף שהתוכן של תקשורת ווטסאפ אינו קריא, העובדים הראו כיצד ממשלות יכולות להשתמש בגישה שלהן לתשתית אינטרנט, כדי לפקח מתי והיכן מתרחשת תקשורת מוצפנת – מעין "צפייה בספק דואר שמעביר מעטפה אטומה".
הערכת האיומים אינה מתארת מקרים ספציפיים שבהם היא יודעת ששיטה זו הופעלה על ידי גורמים מדינתיים. עם זאת, בעבר, הניו יורק טיימס ואמנסטי אינטרנשיונל הראו כיצד מדינות ברחבי העולם מרגלות אחר שימוש באפליקציות צ'ט מוצפנות של מתנגדי משטר, כולל ווטסאפ, באמצעות אותן טכניקות ממש. זאת, בשל העובדה שככל שהמלחמות הפכו ממוחשבות יותר ויותר, מטא-דאטה – מידע על מי, מתי ואיפה של שיחות – הפכה להיות בעלת ערך עצום לסוכנויות מודיעין, צבא ומשטרה ברחבי העולם. "אנחנו הורגים אנשים על סמך מטא-דאטה", אמר פעם הגנרל מייקל היידן, שהיה ראש ה-NSA וה-CIA.
The Intercept מצטט את מת'יו גרין, פרופסור לקריפטוגרפיה באוניברסיטת ג'ונס הופקינס: "אפילו ניתוחים חסרי בסיס של מטא-דאטה עלולים להיות קטלניים. טבען של המערכות האלה הוא שהן הולכות להרוג אנשים חפים מפשע – ואף אחד לא ידע למה".
הגישה של ישראל במלחמה – ממוקדת נתונים
בחודש שעבר נחשף מידע על גישתה ממוקדת הנתונים של ישראל במלחמה – מה שגרם לכך שאותה הערכת האיומים של ווטסאפ הפכה לנקודת מתח במטא. הגרדיאן ושיחה מקומית חשפו שצה"ל השתמש במערכת מבוססת AI, שסייעה בזיהוי 37 אלף מטרות פוטנציאליות על סמך הקשר שלהן לחמאס. לפי התחקיר, מלבד השימוש במערכת, לבנדר שמה, "גורמים בצה"ל התירו להרוג מספר רב של אזרחים פלסטינים, במיוחד בשבועות והחודשים הראשונים של המלחמה".
צה"ל לא הגיב לפרסום מסוף השבוע, אך מסר לגרדיאן בחודש שעבר כי הוא "לא משתמש במערכת AI שמזהה פעילי טרור או מנסה לחזות אם אדם הוא טרוריסט… מדובר במאגר מידע שמטרתו להצליב מקורות מודיעיניים, כדי לייצר שכבות מידע עדכניות על הפעילים הצבאיים של ארגוני הטרור. זו אינה רשימה מאומתת של פעילים צבאיים שדמם בראשם".
החשש: הפגיעות בווטסאפ עלולה להזין את לבנדר
לאחר החשיפה הזו, חלק מעובדי מטא שהתבטאו בעילום שם, מחשש מתגובה מצד החברה, אמרו כי "האופן שבו ממשלות יוכלו לחלץ מטא-נתונים מזהים אישיים מהשיחות המוצפנות של ווטסאפ מעוררת חשש עמוק שאותה פגיעות עלולה להזין את לבנדר, או מערכות תקיפה צבאיות ישראליות אחרות".
לדברי המקורות, המאמצים ללחוץ על מטא לחשוף את מה שהיא יודעת על הפגיעות ועל שימוש אפשרי בה מצד ישראל – לא נשאו פרי. דובר מטא מסר בתגובה כי "יש לנו רקורד מוכח בטיפול בבעיות שאנחנו מזהים ועבדנו כדי להטיל אחריות על שחקנים רעים. יש לנו את המהנדסים הטובים ביותר בעולם שמחפשים כיצד להקשיח עוד יותר את המערכות שלנו נגד איומים עתידיים. ונמשיך לעשות זאת".
אנדי גארת', מנהל קשרי ממשל ב-ESET, ציין כי "ההנחה הכללית היא שממשלות במדינות דמוקרטיות ליברליות יתעניינו בהודעות ווטסאפ רק אם הן חושדות שהמשתמש מעורב בפעילות פלילית. עם זאת, הסיכונים הגדולים יותר מגיעים מממשלות אוטוריטריות, שיכולות לנצל פגיעויות כדי לטרגט מתנגדים, עיתונאים ומגני זכויות אדם, או לרגל אחר מטרות פוליטיות, צבאיות או מסחריות בחו"ל".
הוא הוסיף כי "בחודש שעבר ביקש היורופול להפסיק את ההצפנה בשירותי הודעות לצורך חילופי מידע חוקיים בין חברות טכנולוגיה לרשויות אכיפת החוק, במטרה לזהות ולמנוע פעילות פלילית. חברות טכנולוגיה צריכות לשלב אבטחה כבר בשלב התכנון והפיתוח, להבטיח פרטיות ובטיחות למשתמשים, ולתקן פגיעויות במהירות".
תגידו, אתם אמיתיים?! The Intercept?! כבר עדיף לצטט את אל-ג׳זירה! ואני לא כותב את זה בציניות או בהגזמה; עם כל העוינות של אל-ג׳זירה, בתור אמצעי תקשורת ממוסד עם מאה מיליון צופים, יש לו סטנדרטים מסויימים, שהם כמובן לא מספקים עבורנו, אך The Intercept הוא אנטי-ישראלי על סטרואידים, מפיץ פייקים, ומתפקד כמכונת רעל על מלא. אם זה פורסם רק בו (ובמקורות שעשו עליו פולואו-אפ), וזה נגד ישראל, אז אפשר להניח בוודאות שזה לא נכון. וגם אם יש 4 עובדים בפייסבוק (סליחה, מטא) שביטאו חשש בשיחה עם The Intercept, אפילו זה לא מעיד על כלום, כי זו חברה של 70 אלף עובדים, אז גם אם 40 ואפילו 400 מתוכם מפיצים עלילות שווא על ישראל, זה לא אומר כלום (מה גם שהארבעה האלה אפילו לא סיפרו על משהו שקרה אלא רק הביעו חשש שלדעתם ישראל עלולה לנצל פגיעויות מסויימות).
חשש? כמה אוטואנאישמים אתם יכולים להיות שם בשמאל?
בזמן מלחמה לגיטימי להאזין לאוייב, מעל 80% מאזרחי עזה תומכים בחמאס ובתורת ארגונו ותומכים בכל מה שעשה ב 7.10. אי לכך כולם בגדר חשודים כפעילי חמאס שגיוסם משתנה מיום ליום. אפילו רועה צאן שהתקרב עם העדר לגדר של ישראל ושימש כתצפיתן ומסר דיווחים לחמאס - הוא אויב. וצריך להשמיד כל אוייב ומשתף פעולה ואני אזכור להדליק להם נר זכרון ולקרוא יזכור .