הנושאים החמים
הנושאים החמים
היתה פריצה מאוד מדובר בתקשורת. הנה מאמר שהתפרסם בעברית על מה ואיך. המקור מגיקטיים
כמו כן יש יותר פרוט כאן: https://internet-israel.com/חדשות-אינטרנט/הכשלים-שהיו-באפליקצית-אלקטור/
אפליקציית ‘אלקטור’ שהיתה בשימוש של פעילי מטה הבחירות של הליכוד הובילה לדליפת המידע הגדולה ביותר מאז פרשת ‘אגרון’. בין היתר נחשפו כל תעודות הזהות, כתובות, קרבה משפחתית ומספרי טלפון של אזרחי ישראל. התנועה לזכויות דיגיטליות: ”כעת כל חורשי רעתנו קיבלו עידכון נתונים מלא, נכון להיום”
בשנים האחרונות דליפות המידע הפכו לכמעט נושא שבשגרה, ואחת לכמה זמן אנו מדווחים על דליפות מחברות ענק כמו פייסבוק, ובדרך כלל גם מידע של כמה ישראליים דולף בתהליך, אבל מקרה שכזה לא קרה כבר יותר מעשור. חוקר אבטחה רן בר-זיק והפודקאסט ״סייברסייבר״ בהנחיית עידו קינן ונעם רותם חשפו אמש (א’) את מה שנראה כדליפת המידע החמורה בתולדות המדינה, במהלכה דלף כל פנקס הבוחרים הכולל מידע עדכני על 6,453,254 מאזרחי ישראל.
מהו פנקס הבוחרים ומהו המידע שיש בו?
פנקס הבוחרים הוא כלי אשר חשוף בין היתר גם לשימושן של המפלגות. הן יכולות בעזרתו לשלוח לכם חומרי תעמולה, לשמור על קשר עם בוחרים ולעודד אזרחים להצביע. שר הפנים הוא זה שמוסר את רשימת רשימת הבוחרים לידי המפלגות המתמודדות, בעוד המפלגות והסיעות מתחייבות שלא לעשות בו שימוש מלבד לצורכי התמודדות בבחירות ולצורכי קשר עם הבוחר. לפני כל מועד בחירות בישראל, וכולנו יודעים שיש לא מעט כאלו, משרד הפנים מעדכן את הרשימה הכוללת כל אזרח אשר מלאו לו 18 ורשאי להצביע בבחירות, ודורש מהמפלגות להגן על מאגר המידע הזה. המידע כולל שמות מלאים, שמות הורים, שנת לידה, כתובת, מספר זהות והקלפי בה הרשום אמור להצביע.
מהי האפליקציה שהובילה לדליפה?
מקור הפירצה אשר גילו קינן ובר-זיק מתחיל באפליקציית ‘אלקטור’ שפותחה על ידי חברת “Feed-b״. זוהי מעין אפליקציית CRM לניהול ימי הבחירות. משתמשים באפליקציית ‘אלקטור’, כמו פעילי מטה בחירות למשל, יכולים לחפש אזרחים בתוך פנקס הבוחרים על ידי תעודת זהות או שם מלא, ולסמן אזרחים שהם יודעים שהם תומכים במפלגה, או אפילו קולות צפים וכאלו שאינם תומכי המפלגה. זאת על מנת ליצור מאגר מידע שישמש את הצוותים של המפלגה ביום הבחירות. משקיפים בקלפי מטעם המפלגות מסמנים באפליקציה אזרחים אשר הצביעו, וחשוב מכך, מסייעים למפלגות לראות אילו אזרחים עדיין לא הצביעו, כדי לדחוף אותם לצאת לקלפי ובתקווה להוביל לשיפור בתוצאות הבחירות מבחינת אותה מפלגה. רק לפני מספר שבועות הקליט רה״מ בנימין נתניהו סרטון בו הוא קורא לפעילי ומתנדבי הליכוד להשתמש באפליקציית ‘אלקטור’ וטען ששימוש באפליקציה “יעזור לנו להביא את הניצחון”.
כדי להשתמש באפליקציה, שעל פי דיווח של דהמרקר, נמצאת גם בשימוש מפלגות נוספות כמו ש״ס וישראל ביתנו, אין שום צורך להיות אפילו פעיל בכיר של מפלגה, אלא פשוט להיות בעל סמארטפון. כל משתמש יכול להוריד את האפליקציה מחנות האפליקציות, שם הוא יכול פשוט לחפש משתמשים על פי תעודת הזהות או שמם המלא, ולמצוא בה בין היתר פרטים אודות כל אזרח בעל זכות הצבעה, כולל ראש הממשלה. באפליקציה חלק מהמידע מוסתר, אבל במאגר המידע שדלף ניתן היה לשלוף את כל המידע.
איך ניתן היה לשלוף את המאגר? ספוילר: כל אחד יכול לעשות זאת
בניגוד למתקפות מתוחכמות שדורשות פריצה אל מחשבים ארגוניים, רשתות פנימיות ושתילת רוגלות שונות, לדברי בר-זיק, כל שנדרש במקרה של אלקטור והליכוד הוא שימוש בדפדפן. כל שצריך היה לעשות הוא להיכנס לאתר ‘אלקטור’, ללחוץ על הכפתור הימני בעכבר ולבחור ב-“View Source״. בין אחד מקובצי ה-JavaScript ניתן פשוט למצוא את המחרוזת ״GetAllAdmin״ אשר חושפת את שמות המשתמש והסיסמאות המלאות של משתמשי האדמין באתר. בעזרת הפרטים הללו, ניתן להתחבר למערכת של אלקטור ולהוריד בקלות את כל פנקס הבוחרים על כל פרטיו.
בר-זיק וקינן חשפו בפודקאסט כי גורם אנונימי שלח להם מייל באנגלית ובו פרטי הפירצה. כדי להוכיח לבר-זיק שמדובר במידע מהימן, אותו גורם שלח את פרטיו של בר-זיק, כפי ששלף אותם מפנקס הבוחרים. בר-זיק עצמו טוען כי העביר את כתובתו לפני כחודש, ואותו גורם שלח את כתובתו העדכנית ביותר, כפי שהיא מופיעה במאגר שדלף. בר-זיק טוען כי גורמים לא מורשים הניחו את ידיהם בוודאות על המאגר, ביניהם ככל הנראה גם מדליף הפירצה.
מה ניתן לעשות עם המידע שדלף?
המידע שדלף כולל כאמור פרטים אישיים רבים על כל בעלי זכות הבחירה בישראל, מה שיכול בפועל לסייע לגורמים עוינים להתערב בבחירות בישראל בדרכים שונות, או אפילו פשוט לשמש האקרים בתקיפות עתידיות. בהנחה שהמאגר אכן דלף או יגיע לידיים עוינות, הוא יכול לשמש למתקפות פישינג נרחבות ומשכנעות מתמיד או פשוט לגניבת זהות.
בהנחה שגורם עוין יצליח להצליב בין המאגר שדלף לבין מאגרים אחרים, הוא יכול למשל לנסות ולאפס את סיסמתכם באמצעות מענה על שאלת האבטחה הקלאסית ״מהו שם אביך״, או להתחזות אליכם במוקדי שירות שונים, כעת שהוא מחזיק חלק מהמידע האישי שלכם.
דורון אופק, מראשי התנועה לזכויות דיגיטליות, ששימש כעד מומחה מטעם המדינה בפרשת ‘אגרון’, טוען כי ישנן השלכות מרחיקות לכת לדליפה: “בפרשת האגרון ראינו את הנזקים במשך שנים. זיהינו חיפושים על בכירי מערכת הביטחון, ראינו גורמי פשיעה שמשתמשים בנתונים כדי לעקוב אחרי אנשים, לאתר אותם ולהגיע אליהם. האמירה שהנתונים כבר דלפו מוטעית לחלוטין- הדליפה האחרונה אירעה לפני 14 שנה, וכעת כל חורשי רעתנו קיבלו עידכון נתונים מלא, נכון להיום. אבל הבעיה לא עוצרת כאן. צריך להבין- אחד ממנגנוני האבטחה של המאגר הביומטרי, הוא העובדה שכדי להשתמש בו, במידה והוא דולף, צריך עותק עדכני של מרשם האוכלוסין, שכן תחילת הפעילות של המאגר היתה שנים אחרי הדליפה הקודמת. וכעת, בגלל התאונה הזו, העברנו על מגש של כסף את אחד מעגלי האבטחה של המידע הכי פרטי שלנו- צילומי הפנים וטביעות האצבע, לאויבנו. ישראל צריכה לעשות שינוי טוטאלי בחוקי הגנת הפרטיות ולקבוע רגולציה כבדה וסנקציות מרחיקות לכת כנגד מי שנוהגים במידע הזה ברשלנות. אם אפשר לעשות את זה עם כרטיסי אשראי, אין סיבה שלא לעשות את זה גם עם המידע הפרטי והאישי של כולנו”.
כמו כן יש יותר פרוט כאן: https://internet-israel.com/חדשות-אינטרנט/הכשלים-שהיו-באפליקצית-אלקטור/
אפליקציית ‘אלקטור’ שהיתה בשימוש של פעילי מטה הבחירות של הליכוד הובילה לדליפת המידע הגדולה ביותר מאז פרשת ‘אגרון’. בין היתר נחשפו כל תעודות הזהות, כתובות, קרבה משפחתית ומספרי טלפון של אזרחי ישראל. התנועה לזכויות דיגיטליות: ”כעת כל חורשי רעתנו קיבלו עידכון נתונים מלא, נכון להיום”
בשנים האחרונות דליפות המידע הפכו לכמעט נושא שבשגרה, ואחת לכמה זמן אנו מדווחים על דליפות מחברות ענק כמו פייסבוק, ובדרך כלל גם מידע של כמה ישראליים דולף בתהליך, אבל מקרה שכזה לא קרה כבר יותר מעשור. חוקר אבטחה רן בר-זיק והפודקאסט ״סייברסייבר״ בהנחיית עידו קינן ונעם רותם חשפו אמש (א’) את מה שנראה כדליפת המידע החמורה בתולדות המדינה, במהלכה דלף כל פנקס הבוחרים הכולל מידע עדכני על 6,453,254 מאזרחי ישראל.
מהו פנקס הבוחרים ומהו המידע שיש בו?
פנקס הבוחרים הוא כלי אשר חשוף בין היתר גם לשימושן של המפלגות. הן יכולות בעזרתו לשלוח לכם חומרי תעמולה, לשמור על קשר עם בוחרים ולעודד אזרחים להצביע. שר הפנים הוא זה שמוסר את רשימת רשימת הבוחרים לידי המפלגות המתמודדות, בעוד המפלגות והסיעות מתחייבות שלא לעשות בו שימוש מלבד לצורכי התמודדות בבחירות ולצורכי קשר עם הבוחר. לפני כל מועד בחירות בישראל, וכולנו יודעים שיש לא מעט כאלו, משרד הפנים מעדכן את הרשימה הכוללת כל אזרח אשר מלאו לו 18 ורשאי להצביע בבחירות, ודורש מהמפלגות להגן על מאגר המידע הזה. המידע כולל שמות מלאים, שמות הורים, שנת לידה, כתובת, מספר זהות והקלפי בה הרשום אמור להצביע.
מהי האפליקציה שהובילה לדליפה?
מקור הפירצה אשר גילו קינן ובר-זיק מתחיל באפליקציית ‘אלקטור’ שפותחה על ידי חברת “Feed-b״. זוהי מעין אפליקציית CRM לניהול ימי הבחירות. משתמשים באפליקציית ‘אלקטור’, כמו פעילי מטה בחירות למשל, יכולים לחפש אזרחים בתוך פנקס הבוחרים על ידי תעודת זהות או שם מלא, ולסמן אזרחים שהם יודעים שהם תומכים במפלגה, או אפילו קולות צפים וכאלו שאינם תומכי המפלגה. זאת על מנת ליצור מאגר מידע שישמש את הצוותים של המפלגה ביום הבחירות. משקיפים בקלפי מטעם המפלגות מסמנים באפליקציה אזרחים אשר הצביעו, וחשוב מכך, מסייעים למפלגות לראות אילו אזרחים עדיין לא הצביעו, כדי לדחוף אותם לצאת לקלפי ובתקווה להוביל לשיפור בתוצאות הבחירות מבחינת אותה מפלגה. רק לפני מספר שבועות הקליט רה״מ בנימין נתניהו סרטון בו הוא קורא לפעילי ומתנדבי הליכוד להשתמש באפליקציית ‘אלקטור’ וטען ששימוש באפליקציה “יעזור לנו להביא את הניצחון”.
כדי להשתמש באפליקציה, שעל פי דיווח של דהמרקר, נמצאת גם בשימוש מפלגות נוספות כמו ש״ס וישראל ביתנו, אין שום צורך להיות אפילו פעיל בכיר של מפלגה, אלא פשוט להיות בעל סמארטפון. כל משתמש יכול להוריד את האפליקציה מחנות האפליקציות, שם הוא יכול פשוט לחפש משתמשים על פי תעודת הזהות או שמם המלא, ולמצוא בה בין היתר פרטים אודות כל אזרח בעל זכות הצבעה, כולל ראש הממשלה. באפליקציה חלק מהמידע מוסתר, אבל במאגר המידע שדלף ניתן היה לשלוף את כל המידע.
איך ניתן היה לשלוף את המאגר? ספוילר: כל אחד יכול לעשות זאת
בניגוד למתקפות מתוחכמות שדורשות פריצה אל מחשבים ארגוניים, רשתות פנימיות ושתילת רוגלות שונות, לדברי בר-זיק, כל שנדרש במקרה של אלקטור והליכוד הוא שימוש בדפדפן. כל שצריך היה לעשות הוא להיכנס לאתר ‘אלקטור’, ללחוץ על הכפתור הימני בעכבר ולבחור ב-“View Source״. בין אחד מקובצי ה-JavaScript ניתן פשוט למצוא את המחרוזת ״GetAllAdmin״ אשר חושפת את שמות המשתמש והסיסמאות המלאות של משתמשי האדמין באתר. בעזרת הפרטים הללו, ניתן להתחבר למערכת של אלקטור ולהוריד בקלות את כל פנקס הבוחרים על כל פרטיו.
בר-זיק וקינן חשפו בפודקאסט כי גורם אנונימי שלח להם מייל באנגלית ובו פרטי הפירצה. כדי להוכיח לבר-זיק שמדובר במידע מהימן, אותו גורם שלח את פרטיו של בר-זיק, כפי ששלף אותם מפנקס הבוחרים. בר-זיק עצמו טוען כי העביר את כתובתו לפני כחודש, ואותו גורם שלח את כתובתו העדכנית ביותר, כפי שהיא מופיעה במאגר שדלף. בר-זיק טוען כי גורמים לא מורשים הניחו את ידיהם בוודאות על המאגר, ביניהם ככל הנראה גם מדליף הפירצה.
מה ניתן לעשות עם המידע שדלף?
המידע שדלף כולל כאמור פרטים אישיים רבים על כל בעלי זכות הבחירה בישראל, מה שיכול בפועל לסייע לגורמים עוינים להתערב בבחירות בישראל בדרכים שונות, או אפילו פשוט לשמש האקרים בתקיפות עתידיות. בהנחה שהמאגר אכן דלף או יגיע לידיים עוינות, הוא יכול לשמש למתקפות פישינג נרחבות ומשכנעות מתמיד או פשוט לגניבת זהות.
בהנחה שגורם עוין יצליח להצליב בין המאגר שדלף לבין מאגרים אחרים, הוא יכול למשל לנסות ולאפס את סיסמתכם באמצעות מענה על שאלת האבטחה הקלאסית ״מהו שם אביך״, או להתחזות אליכם במוקדי שירות שונים, כעת שהוא מחזיק חלק מהמידע האישי שלכם.
דורון אופק, מראשי התנועה לזכויות דיגיטליות, ששימש כעד מומחה מטעם המדינה בפרשת ‘אגרון’, טוען כי ישנן השלכות מרחיקות לכת לדליפה: “בפרשת האגרון ראינו את הנזקים במשך שנים. זיהינו חיפושים על בכירי מערכת הביטחון, ראינו גורמי פשיעה שמשתמשים בנתונים כדי לעקוב אחרי אנשים, לאתר אותם ולהגיע אליהם. האמירה שהנתונים כבר דלפו מוטעית לחלוטין- הדליפה האחרונה אירעה לפני 14 שנה, וכעת כל חורשי רעתנו קיבלו עידכון נתונים מלא, נכון להיום. אבל הבעיה לא עוצרת כאן. צריך להבין- אחד ממנגנוני האבטחה של המאגר הביומטרי, הוא העובדה שכדי להשתמש בו, במידה והוא דולף, צריך עותק עדכני של מרשם האוכלוסין, שכן תחילת הפעילות של המאגר היתה שנים אחרי הדליפה הקודמת. וכעת, בגלל התאונה הזו, העברנו על מגש של כסף את אחד מעגלי האבטחה של המידע הכי פרטי שלנו- צילומי הפנים וטביעות האצבע, לאויבנו. ישראל צריכה לעשות שינוי טוטאלי בחוקי הגנת הפרטיות ולקבוע רגולציה כבדה וסנקציות מרחיקות לכת כנגד מי שנוהגים במידע הזה ברשלנות. אם אפשר לעשות את זה עם כרטיסי אשראי, אין סיבה שלא לעשות את זה גם עם המידע הפרטי והאישי של כולנו”.
