פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      עושים עלינו סיבוב: האפליקציות של המפלגות אוספות עלינו מידע רגיש

      הבחירות הללו, יותר מכל מערכת בחירות שהייתה בישראל אי פעם, מושפעות מהשיח ברשתות החברתיות ומהמידע האישי שלנו המפורסם שם. כאמצעי תקשורת נוסף עם הבוחר, המפלגות שחררו לחנויות אפליקציות עם מידע חיוני, אולם בצ'ק פוינט מצאו שהן שימשו לדברים נוספים ומחרידים בהרבה

      גוגל פליי google play (ShutterStock)
      האפליקציות של המפלגות בסכנת פירצת אבטחה (צילום: ShutterStock)

      חברת אבטחת הסייבר, צ'ק פוינט, פרסמה הבוקר נתונים די מפחידים וחמורים במיוחד על הבחירות המתקרבות לרבות פירצות האבטחה שבאפליקציות של המפלגות. אנו עדים בשנים האחרונות ובמיוחד בתקופת הבחירות לפעילות ענפה במרחב הסייבר של גופים שונים, במטרה לקדם אינטרסים של מפגלות שונות. התופעה בעיקר מתאפשרת לאור המידע הרב שאנו משתפים וצורכים ברשתות החברתיות ובסמארטפונים שלנו. אותו מידע יקר ערך במיוחד עבור אלו המנסים להשפיע על דעת הקהל והפרט בדרכם להצבעה בקלפי.

      בתקשורת דובר רבות על מתקפות ברשתות החברתיות שמטרתן לשנות את דעת הציבור ואנו לומדים יותר ויותר על יכולות התקפיות של מדינות וגופים שונים במימד הסייבר. ובעוד שרבים נוטים לחשוב באופן מיידי על הפורצים שהשתמשו במידע, רובנו נוטים להתעלם מהגורם שכלל מאפשר את אותן מתקפות. הדבר נגרם בעקבות נגישות קלה יחסית למידע רגיש אותו אנו משתפים, לעיתים גם ללא כל כוונה בכך. מידע רגיש כמו דעה פוליטית, קשרים חברתיים, נתונים דמוגרפים, מספרי טלפון וכתובות שלנו ושל הקרובים אלינו, יכולים לסייע רבות לגורמים הללו. עם התובנה הזאת, יצאה צ'ק פוינט לבחון את האפליקציות של המפלגות השונות המתמודדות בבחירות ובדקו אילו שירותים הן מציעות לציבור ובעיקר איזה מידע הן אוספות עלינו וכיצד הן נוהגות בו. התוצאות מחרידות במיוחד, לא רק בכמות המידע שאוספים עלינו, אלא גם בכמות פירצות האבטחה וברגישות המידע. צ'ק פוינט מסרה את עיקרי הממצאים למפלגות השונות ולגורמים ממשלתיים רלוונטיים לפני מועד פרסום זה.

      אפליקציית מפלגת הליכוד

      לליכוד קיימת אפליקציה רשמית לסלולר, הן למכשירי אנדרואיד והן למכשירי אפל. העדכון האחרון שוחרר בספטמבר 2018 ונועדה בעיקר לחיזוק הקשר של המשתמש עם המפלגה, תוך שהיא מספקת מידע אקטואלי על המפלגה ונציגיה ופעילותם ברשתות החברתיות. הרישום לאפליקציה מתבצע על ידי הזנת מספר תעודת זהות וטלפון נייד. בשלב זה המשתמש מקבל מסרון (הודעת SMS) ובו מצויינת סיסמא באורך 4 ספרות התשמש אותו לכניסה לאפליקציה מעתה ואילך. זו סיסמה קלה ופשוטה ובכך חושפת את המשתמשים לתקיפות מסוג Brute Force (תקיפה כוחנית). בתקיפה מסוג זה מזין התוקף את כל האפשרויות הקיימות לסיסמה ולכן יש חשיבות למורכבות ואורך הסיסמה. סיסמה שכזו ניתנת לפיצוח על ידי מחשב בתוך דקות ספורות.

      מפלגת הליכוד אפליקציה (צילום מסך)
      האפליקציה של מפלגת הליכוד (צילום מסך)

      עוד אם ידוע לתוקף מספר הטלפון של חבר ליכוד כלשהו, בפשטות ניתן להתחבר במקומו לאפליקציה ולקבל את כל פרטיו האישיים ולפעול בתוכה בשמו. האפליקציה מאפשרת למעשה חיבור ישיר למאגר המידע של הליכוד, מאפשרת באמצעות מספר תעודת זהות לבדוק האם אדם הוא חבר ליכוד ועבור חברי הליכוד נותנת גישה מלאה לכל הפרטים של כל חברי המפלגה, שמות, טלפונים, כתובות אימייל, כתובות מגורים ותפקידיהם בליכוד. גם הכניסה לעמוד ממנו מוצגת אפשרות כניסה לניהול האפליקציה מתבצעת בפרוטוקול לא מאובטח.

      אפליקציית מפלגת העבודה

      אפליקצית העבודה לבחירות 2019 פותחה על ידי בית התוכנה Runloop והיא זמינה למכשירי אפל וכן מכשירי אנדרואיד. האפליקציה מאפשרת למשתמש, בנוסף לאפשרות להתעדכן בחדשות ובאירועים האחרונים, גם להשפיע. החלק המרכזי של האפליקציה מאפשר למשתמש לסווג את אנשי הקשר שלו לקטגוריות לפי מידת התמיכה של איש הקשר במפלגת העבודה ומידת הפתיחות שלו לשינוי עמדה. האפליקציה מבטיחה כי כל זאת נעשה על מנת לאפשר למשתמש לשלוח הודעות טקסט מוכנות מראש למכריו, אולם בדיקת הקוד של האפליקציה חושפת משהו מחריד בהרבה.

      מפלגת העבודה אפליקציה (צילום מסך)
      המסך הראשי של האפליקציה (מימין) והמערכת לסיווג אנשי הקשר (משמאל). אפליקציית מפלגת העבודה (צילום מסך)

      האפליקציה מתחייבת כי הגישה לרשימת אנשי הקשר מתבצעת על מנת "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך... תוכן השיחות לא ינוטר ו/או ישמר על ידי המפלגה". אלא שמיד עם מתן הגישה לפרטי אנשי הקשר של המשתמש ולחיצה על כפתור ה"התחל להשפיע", נשלחים כל פרטי אנשי הקשר שנמצאים על מכשיר הטלפון למאגר המידע של המפלגה, כולל שמות, מספרי טלפון וכתובות אימייל. האפליקציה מאפשרת למפלגה לעבור על כל אנשי הקשר של המשתמש ולאתר את האנשים הקרובים אליהם על ידי חיפוש סיומות ותחיליות חיבה והקטנה המוצמדות לשם, ומילות קירבה ואהבה. כך למשל "אמא", "אבא", "סבתא" יסווגו כקשרים קרובים, כמו גם כל מי שמסתיים ב"צ'וק", "צ'יק", "ל'ה" אשר ישמרו במאגר המידע כבעל קשר קרוב במיוחד אל המשתמש. חשוב לציין שלמרות סוגיית הפרטיות, כל המידע שמועבר לשרת, מועבר בצורה מוצפנת, כמצופה בטיפול מתעבורה עם מידע רגיש.

      אפליקציית מפלגת ישר

      האפליקציה של מפלגת ישר שונה מהאחרות לחלוטין ופועלת בדרך שונה לגמרי. בדומה לאחרות, האפליקציה מציגה למשתמשים את המפלגה, עקרונותיה ונציגיה ובנוסף מהווה בעצמה את המרכיב המרכזי במצע שלהם - דמוקרטיה ישירה. מפלגת "ישר" מתחייבת כי נציגיה, במידה ויבחרו לכנסת, יצביעו בדיוק כפי שהמשתמשים יורו להם באפליקציה. ברור כי אפליקציה כזו חייבת לעמוד בתנאי אבטחה חמורים במיוחד כדי שלא לאפשר כפל הצבעות של משתמשים או התערבות חיצונית בתוצאות. המערכת של "ישר" מצהירה על עצמה כי היא מערכת "הדגמה" בלבד, ולכן אין לייחס חשיבות רבה לכך שאינה דורשת אמצעי זיהוי מעבר לצילום המשתמש בצמוד לתעודת זיהוי. עם זאת, במידה וגרסה סופית של האפליקציה תשוחרר לקהל הרחב, ניתן יהיה לבצע בדיקה מחמירה של אמצעי הבטיחות בה תשתמש.

      אפליקציית מפלגת ישר (צילום מסך)
      אפליקציית מפלגת ישר (צילום מסך)