פרטים של 6.5 מיליון ישראלים נחשפו: כל מה שאתם צריכים לדעת

אפליקציית ‘אלקטור’ שהיתה בשימוש של פעילי מטה הבחירות של הליכוד הובילה לדליפת המידע הגדולה ביותר מאז פרשת ‘אגרון’. בין היתר נחשפו כל תעודות הזהות, כתובות, קרבה משפחתית ומספרי טלפון של אזרחי ישראל. התנועה לזכויות דיגיטליות: ”כעת כל חורשי רעתנו קיבלו עידכון נתונים מלא, נכון להיום”

צילום: גיקטיים

בשנים האחרונות דליפות המידע הפכו לכמעט נושא שבשגרה, ואחת לכמה זמן אנו מדווחים על דליפות מחברות ענק כמו פייסבוק, ובדרך כלל גם מידע של כמה ישראליים דולף בתהליך, אבל מקרה שכזה לא קרה כבר יותר מעשור. חוקר אבטחה רן בר-זיק והפודקאסט ״סייברסייבר״ בהנחיית עידו קינן ונעם רותם חשפו אמש (א’) את מה שנראה כדליפת המידע החמורה בתולדות המדינה, במהלכה דלף כל פנקס הבוחרים הכולל מידע עדכני על 6,453,254 מאזרחי ישראל.


מהו פנקס הבוחרים ומהו המידע שיש בו?

פנקס הבוחרים הוא כלי אשר חשוף בין היתר גם לשימושן של המפלגות. הן יכולות בעזרתו לשלוח לכם חומרי תעמולה, לשמור על קשר עם בוחרים ולעודד אזרחים להצביע. שר הפנים הוא זה שמוסר את רשימת רשימת הבוחרים לידי המפלגות המתמודדות, בעוד המפלגות והסיעות מתחייבות שלא לעשות בו שימוש מלבד לצורכי התמודדות בבחירות ולצורכי קשר עם הבוחר. לפני כל מועד בחירות בישראל, וכולנו יודעים שיש לא מעט כאלו, משרד הפנים מעדכן את הרשימה הכוללת כל אזרח אשר מלאו לו 18 ורשאי להצביע בבחירות, ודורש מהמפלגות להגן על מאגר המידע הזה. המידע כולל שמות מלאים, שמות הורים, שנת לידה, כתובת, מספר זהות והקלפי בה הרשום אמור להצביע.


מהי האפליקציה שהובילה לדליפה?

מקור הפירצה אשר גילו קינן ובר-זיק מתחיל באפליקציית ‘אלקטור’ שפותחה על ידי חברת “Feed-b״. זוהי מעין אפליקציית CRM לניהול ימי הבחירות. משתמשים באפליקציית ‘אלקטור’, כמו פעילי מטה בחירות למשל, יכולים לחפש אזרחים בתוך פנקס הבוחרים על ידי תעודת זהות או שם מלא, ולסמן אזרחים שהם יודעים שהם תומכים במפלגה, או אפילו קולות צפים וכאלו שאינם תומכי המפלגה. זאת על מנת ליצור מאגר מידע שישמש את הצוותים של המפלגה ביום הבחירות. משקיפים בקלפי מטעם המפלגות מסמנים באפליקציה אזרחים אשר הצביעו, וחשוב מכך, מסייעים למפלגות לראות אילו אזרחים עדיין לא הצביעו, כדי לדחוף אותם לצאת לקלפי ובתקווה להוביל לשיפור בתוצאות הבחירות מבחינת אותה מפלגה. רק לפני מספר שבועות הקליט רה״מ בנימין נתניהו סרטון בו הוא קורא לפעילי ומתנדבי הליכוד להשתמש באפליקציית ‘אלקטור’ וטען ששימוש באפליקציה “יעזור לנו להביא את הניצחון”.


כדי להשתמש באפליקציה, שעל פי דיווח של דהמרקר, נמצאת גם בשימוש מפלגות נוספות כמו ש״ס וישראל ביתנו, אין שום צורך להיות אפילו פעיל בכיר של מפלגה, אלא פשוט להיות בעל סמארטפון. כל משתמש יכול להוריד את האפליקציה מחנות האפליקציות, שם הוא יכול פשוט לחפש משתמשים על פי תעודת הזהות או שמם המלא, ולמצוא בה בין היתר פרטים אודות כל אזרח בעל זכות הצבעה, כולל ראש הממשלה. באפליקציה חלק מהמידע מוסתר, אבל במאגר המידע שדלף ניתן היה לשלוף את כל המידע.


איך ניתן היה לשלוף את המאגר? ספוילר: כל אחד יכול לעשות זאת

בניגוד למתקפות מתוחכמות שדורשות פריצה אל מחשבים ארגוניים, רשתות פנימיות ושתילת רוגלות שונות, לדברי בר-זיק, כל שנדרש במקרה של אלקטור והליכוד הוא שימוש בדפדפן. כל שצריך היה לעשות הוא להיכנס לאתר ‘אלקטור’, ללחוץ על הכפתור הימני בעכבר ולבחור ב-“View Source״. בין אחד מקובצי ה-JavaScript ניתן פשוט למצוא את המחרוזת ״GetAllAdmin״ אשר חושפת את שמות המשתמש והסיסמאות המלאות של משתמשי האדמין באתר. בעזרת הפרטים הללו, ניתן להתחבר למערכת של אלקטור ולהוריד בקלות את כל פנקס הבוחרים על כל פרטיו.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

בר-זיק וקינן חשפו בפודקאסט כי גורם אנונימי שלח להם מייל באנגלית ובו פרטי הפירצה. כדי להוכיח לבר-זיק שמדובר במידע מהימן, אותו גורם שלח את פרטיו של בר-זיק, כפי ששלף אותם מפנקס הבוחרים. בר-זיק עצמו טוען כי העביר את כתובתו לפני כחודש, ואותו גורם שלח את כתובתו העדכנית ביותר, כפי שהיא מופיעה במאגר שדלף. בר-זיק טוען כי גורמים לא מורשים הניחו את ידיהם בוודאות על המאגר, ביניהם ככל הנראה גם מדליף הפירצה.

מה ניתן לעשות עם המידע שדלף?

גם נתניהו נמצא במאגר. צילום מסך: עידו קינן

המידע שדלף כולל כאמור פרטים אישיים רבים על כל בעלי זכות הבחירה בישראל, מה שיכול בפועל לסייע לגורמים עוינים להתערב בבחירות בישראל בדרכים שונות, או אפילו פשוט לשמש האקרים בתקיפות עתידיות. בהנחה שהמאגר אכן דלף או יגיע לידיים עוינות, הוא יכול לשמש למתקפות פישינג נרחבות ומשכנעות מתמיד או פשוט לגניבת זהות.

בהנחה שגורם עוין יצליח להצליב בין המאגר שדלף לבין מאגרים אחרים, הוא יכול למשל לנסות ולאפס את סיסמתכם באמצעות מענה על שאלת האבטחה הקלאסית ״מהו שם אביך״, או להתחזות אליכם במוקדי שירות שונים, כעת שהוא מחזיק חלק מהמידע האישי שלכם.

דורון אופק, מראשי התנועה לזכויות דיגיטליות, ששימש כעד מומחה מטעם המדינה בפרשת ‘אגרון’, טוען כי ישנן השלכות מרחיקות לכת לדליפה: “בפרשת האגרון ראינו את הנזקים במשך שנים. זיהינו חיפושים על בכירי מערכת הביטחון, ראינו גורמי פשיעה שמשתמשים בנתונים כדי לעקוב אחרי אנשים, לאתר אותם ולהגיע אליהם. האמירה שהנתונים כבר דלפו מוטעית לחלוטין- הדליפה האחרונה אירעה לפני 14 שנה, וכעת כל חורשי רעתנו קיבלו עידכון נתונים מלא, נכון להיום. אבל הבעיה לא עוצרת כאן. צריך להבין- אחד ממנגנוני האבטחה של המאגר הביומטרי, הוא העובדה שכדי להשתמש בו, במידה והוא דולף, צריך עותק עדכני של מרשם האוכלוסין, שכן תחילת הפעילות של המאגר היתה שנים אחרי הדליפה הקודמת. וכעת, בגלל התאונה הזו, העברנו על מגש של כסף את אחד מעגלי האבטחה של המידע הכי פרטי שלנו- צילומי הפנים וטביעות האצבע, לאויבנו. ישראל צריכה לעשות שינוי טוטאלי בחוקי הגנת הפרטיות ולקבוע רגולציה כבדה וסנקציות מרחיקות לכת כנגד מי שנוהגים במידע הזה ברשלנות. אם אפשר לעשות את זה עם כרטיסי אשראי, אין סיבה שלא לעשות את זה גם עם המידע הפרטי והאישי של כולנו”.

פנינו לאלקטור לקבלת תגובה, אך זו לא התקבלה עד למועד פרסום הכתבה. 

האזינו לפרק המלא של סייברסייבר בו נחשפה הפירצה

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

36 תגובות על "פרטים של 6.5 מיליון ישראלים נחשפו: כל מה שאתם צריכים לדעת"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שם כלשהו
Guest

להעמיד לדין את שר הפנים וכל הקשורים למערכת, מעבר לכך שהמטרה ההתחלתית זה להספים את כל אזרחי המדינה הם גם עשו זאת בחוסר אחריות מוחלט.

Truth
Guest

חחחחחחחחחח
תגיד לי אתה לא מבין באיזה מדינה אתה חי? עוד מעט תגיד שאתה רוצה צדק בבית המשפט, אכיפת חוק במשטרה ועוד רעיונות הזויים כאלה

בני
Guest

שר הפנים בישראל הוא עבריין מורשע, שאנשים הצביעו לו שוב וראש הממשלה מינה אותו לאותו תפקיד שבו סרח שוב. אני לא יודע מה הטעם להעמיד אותו לדין שוב, יש אפילו סכנה שזה יגרום לו להגיע לראשות הממשלה.

אני
Guest

פשוט בזיון – צריך לחוקק נגד זה ונגד ה SMS.
אבל איך אפשר לצפות מהח”כים לחוקק חוקים נגד זה – הם חיים על זה.
זה כמו שהם מצביעים על השכר שלהם, לא היה בתולדות המדינה פעם אחת שהצביעו נגד העלאה – מעניין למה….
בוז

Truth
Guest

אם היית הבעלים של חברת נפט היית מקדם חוק לאנרגיה מתחדשת?

אני
Guest

לא,
אבל הם לא בעלים של חברת נפט – הם נבחרי ציבור!
מעבר לזה – זה בדיוק מה שאני אומר, שהמערכת דפוקה.

avi tshuva
Member

לדעתי, כל זה קורה, בגלל שלקוחות מעדיפים לשלם פחות, למתכנתים בינוניים וחברות שמחזיקות בהן, ולא מעדיפות איכות ואנשים עם ניסיון, גם אם זה יעלה קצת יותר. השגיאה שהובילה לחשיפת המידע מראה על חוסר הבנה יסודי של מתכנתים בכלים שהם משתמשים בהם, וביסודות התכנות הנכון. תופעה רווחת מאוד בעידן שבו משתמשים בהמון פריימוורקים שמונעים מהמפתחים להבין מה באמת קורה ואיך הדברים באמת עובדים.

כרובי
Guest

זה אמנם נכון, אבל דברים כאלה יקרו גם אצל מתכנתים עם נסיון בגלל ניהול משאבים. יש תמיד גבול לכמה זמן מוקצה למתכנת לביצוע משימה, ולכמה ידע יש למתכנת ספציפי. גם לבודקי אבטחת מידע יש גבול כמה ידע וזמן יש להם על מערכת מסויימת.
בפועל לא משנה מה תעשה, בעולם של היום יהיה ניתן תמיד לחדור לכל מערכת.
השאלה היחידה היא מה רמת הגיחוך שתהיה להגנת המערכת, ולמרבה הצער בארץ התשובה היא על פי רוב “מגוחך מאוד”.

שם כלשהו
Guest

בכל מערכת יכולה להיות חולשה, אבל להשאיר גישה פתוחה לפרטי חשבון אדמין זה רשלנות פושעת וביזיון שאפילו בפרויקט בית ספר לא היה קורה.

השם שלי קצר מידי
Guest
השם שלי קצר מידי

הדבר הזה הוא לא חור אבטחה. זה דלת פתוחה לחלוטין ברמת רשלנות פושעת. אנחנו לא מדברים על שימוש בSHA1   בלי salt. אנחנו מדברים על שום הצפנה וAPI שנותן גישה לאדמין… הזוי.

מתכנת
Guest

מי שכתב את הקוד של זה צריך להעמידו למשפט בעוון בגידה.
אין פה מילה אחרת.

ד״ר הו
Guest

אני שוקל לוותר על האזרחות שלי בגלל הפיגור הזה.

אורן
Guest

יש מקום לתביעה יצוגיית

כרובון
Guest

אין מקום לתביעה ייצוגית, הפרלמנטרים כיסו את עצמם יפה יפה.
אבל יש מקום למלא..מלא …מלא תביעות קטנות את הליכוד

שם כלשהו
Guest

צודק, תביעה נגד החברה שפיתחה את הדבר הזה, נגד הגוף המדיני שאישר את העברת המידע הרגיש ונגד ביבי שפרסם וקרא להשתמש באפליקציה הזאת,
רשלנות פושעת שלב אחרי שלב של כל מי שהיה שותף לפרויקט הזה.

אלעד
Guest

זה מה שקורה שנותנים למפתחי ״Full stack״ לפתח אפליקציה.

איתמר
Guest

מה השטות הזאת שמשרד הפנים מוסר את המידע ומבקש “שהמפלגות יגנו עליו”? רק לי זה נשמע מפגר לחלוטין?

קודם כל למה שיהיה מותר למסור מידע כזה לצורך תעמולת בחירות, ודבר שני גם אם נגיד ומסרתם, תהיו אחראים אתם על אפליקציה שמחזיקה מידע כזה. מה כל מפלגה קיקיונית יכולה לבקש גישה למאגר כזה? על בסיס מה?

יש כל כך הרבה דרכים לנצל מידע כזה שאני מצליח לחשוב עליו רק בכמה דקות של תהיה, אני מפחד לחשוב למה זה יכול לשמש

שם כלשהו
Guest

אבסורד אבל “מדינת הסטרטפים” עדיין מתנהלת בחוקים ומערכות מקום המדינה.
בכל מקרה הסיפור הזה חוסף רשלנות פושעת בכל שלב אפשרי.

ההוא משם
Guest

אולי כי הסטארטאפיסטים שמאלנים ועובדי הממשלה ימניים. מסביר את רוב האבסורדים והפערים במדינה.

עידן
Guest

מזל טוב, מעכשיו מספיק לדעת את המספר טלפון שלך בשביל לדעת איפה אתה וההורים שלך גרים. אין ביטחון בכלום.

בצל כחול
Guest

מעולה!!!
תמשיכו להעמיס מידע קריטי (כמו מידע ביומטרי) על DB ולשים להם אבטחה ברמה של סקוץ’….

מאוכזב
Guest

איך להצטרף לתביעה ייצוגית?

שם כלשהו
Guest

במקום תביעה יצוגית כל האנשים השוטפים לפרויקט צריכים לעמוד למשפט פלילי, לכל הפחות על רשלנות ולדעתי אפילו על בגידה במדינה.

שוד וסדק
Guest

אם זה מאגר הבוחרים רק עולים חדשים נדפקו, כל שאר המידע נמצא באגרון, ככה שהקטע של שאלות אבטחה לא רלוונטי, ולגבי כתובת יש את 144, ההבדל הוא בנוחות גישה לא משהו חדש. וד”א מאגרי מידע דולפים חדשות לבקרים בכל העולם ככה שאין לאן לברוח.

שי כלשהו
Guest

פשוט חוסר אחריות! המידע שלנו עכשיו חשוף בכל מקום

יאיר
Guest

מחדל אבטחת מידע הגדול ביותר ובבי עוד העז לשפוך מי ביוב על הנייד של גנץ

הוא
Guest

מה חדש?
נראה לכם שמפלגה של בני דודים שמקבלת את המידע בכל סבב בחירות מגינה על המידע מדליפה?
היא ישר מעבירה את הרשימה לאירן, חיזבאללה וכל שאר החברים.

מדאיג
Guest

מפתח האפליקציה צריך לשבת בכלא על רשלנות קיצונית. בלי הגזמה.

חחחחחחחחחח
Guest

שכל הבבונים של הליכוד יפנימו ומהר שכל הפרטים האישיים שלהם חשופים וכל שאר האנשים גם נדפקו רק קצת פחות ומה שהכי עצוב שהקוד מקור עדיין פתוח

אלקטור – מערכת לניהול בחירות

window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());

gtag(‘config’, ‘UA-44234513-4’);

למשיח בכלל אין טלפון
Guest
למשיח בכלל אין טלפון

בבונים, עיזים, כבשים, וכל ממלכת החי, אפילו הם יודעים שביבי עדיף, אבל הצד השני להם מצביעים חמורים לבנים, הם חושבים שכל מי שעושה עליהם סיבוב הוא המשיח, איתם אין מה לדבר.

שרון
Guest

איפה אפשר להוריד?

רומן
Guest

המאגר הביומטרי מישהו אמר?
לא יפרץ מישהו אמר?
לכו תסמכו על הממשלה. כבר אין אמון במדינה הזו. לא במערכת המשפט. לא במשטרה. לא בממשלה.
אני חושב שזה מצריך יציאה לרחובות כמו הפגנות האיתיופים.

רומן
Guest

גיקטיים.. אולי תצרפו חוות דעת משפטית לכל המתעניינים בדבר תביעה משפטית ומה האפשרויות העומדות בפנינו אחרי דבר שכזה?.

Asaf
Guest

אם כל מפלגה מקבלת את המידע זה אומר שהוא כבר ציבורי ממזמן

דוד
Guest

בהמשך – המאגר הביומטרי
שצפוי לדלוף גם הוא…

אליהו שליט\
Guest
אני מנכל של חברת שירות בתחום שירותי רישום. הדבר הזה גובל בפשע אין לי דרך לומר אחרת. בימים אלו אנו בונית טופס ומיני סייט לחברה ציבורית. אני עובר ראיון עם מנהל הביטחון למרות שאנו ביצענו את העבודה בשלוש השנים האחרונות. שולח מסמכי בדיקות חדירות מהשנה החולפת. עוברים איתי על הסכמי סודיות כאשר אני מקבל את קובץ העובדים . מבצעים על המערכת בדיקות עם כלים מקצועיים … וזה כולה עבור רישום של 300 עובדים לנופש ….בלי תעודות זהות ובלי פרטי הורים או כתובות אני יכול לומר שבעבודה מול מערכת הבחירות – אני יכול להוריד את הכובע בפני ועדת הבחירות המרכזית היא… Read more »
wpDiscuz

תגיות לכתבה: