משרד המשפטים: הליכוד, ”ישראל ביתנו” והמפתחת הפרו את החוק להגנת הפרטיות בפרשת ”אלקטור”

הרשות להגנת הפרטיות קבעה כי החברה שפיתחה את האפליקציה ושתי המפלגות שהשתמשו בה אשמות בהפרת הפרטיות של 6.5 מיליון ישראלים. קנס כספי, אגב, הן לא יקבלו. אלקטור: ”החולשה תוקנה באופן מידי”

הפרטיות שלנו בידי הפוליטיקאים, אפליקציית אלקטור | צילום: גיקטיים

קצת פחות משנה אחרי שפרטיהם של 6.5 מיליון ישראלים דלפו דרך אפליקציית אלקטור שהייתה בשימוש של מפלגות הליכוד ו’ישראל ביתנו’, הרשות להגנת הפרטיות שבמשרד המשפטים קובעת היום (ד’) כי החברה שפיתחה את יישומון ‘אלקטור’ וגם המפלגות – שהיו הלקוחות שלה – הפרו את הוראות חוק הגנת הפרטיות כשלא דאגו לאבטחה מספקת של המידע האישי שהיה מאוחסן בו.

מידע אישי של 6.5 מיליון ישראלים

נזכיר שכחלק מפיתוח האפליקציה שהייתה בשימוש של שתי המפלגות הגדולות הוזן לתוכה כל פנקס הבוחרים, אותו מקבלות המפלגות לפני הבחירות ממשרד הפנים, והוא כולל את כל בני ה-18 בישראל בעלי זכות ההצבעה. הבעיה: החברה שפיתחה את האפליקציה הותירה לכאורה את שמות משתמשי וסיסמאות האדמין שלה חשופות בקוד המקור של האתר שלה. הפירצה אפשרה בקלות כניסה דרך חשבונות האדמין והורדה של פנקס הבוחרים המלא של מדינת ישראל הכולל מידע פרטי של כ-6.5 מיליון תושבים. בין המידע החשוף ניתן למצוא שמות מלאים, כתובות עדכניות, מספרי טלפון, שמות הורים, תעודות זהות ופרטים נוספים.

מעבר למידע שהיה רשום בפנקס הבוחרים, דלף מידע נוסף, אותו הזינו גורמים נוספים בתהליך. בין היתר דלף מידע כמו נטייה פוליטית של מצביעים, תמיכה במפלגה מסויימת והאם מצביע כלשהו זקוק להסעה לקלפי עקב מגבלות גופניות.

עוד צויין בהודעת הרשות, שלמרות “סבב תיקון ליקויים” מצד החברה המפתחת – עדיין ניתן היה לחדור לכאורה למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת.


רוצים לקרוא עוד? לחצו כאן למסמך המלא של הרשות להגנת הפרטיות


“לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, לאחר שהרשות וידאה כי החברה טיפלה בליקויים, עלתה המערכת שוב לאוויר”, כתבו ברשות להגנת הפרטיות.

ברשות להגנת הפרטיות אומרים כי האחריות לא נופלת רק על חברת “אלקטור” שפיתחה את האפליקציה מלאת החורים, אלא גם על המפלגות. על פי הרשות במשרד המשפטים, מהרגע שבו לקחה כל אחת מהמפלגות את פנקס הבוחרים ועשתה בו שימוש היא נחשבת “בעל מאגר”, וכל החובות של הגנת פרטיותם של האנשים הנמצאים במאגר חלות גם עליהן.

בלי שיניים

הקביעות של הרשות להגנת הפרטיות, כך אמרו, מבוססת על הליך אכיפה שלם שהיא מקיימת מאז שפשטה על משרדי אחת החברות שמעורבת בדליפה לפני כשנה. ברשות גם קיימו הליך שימוע לכל אחד מהצדדים – אך כנראה שבמפלגות וב”אלקטור” לא הצליחו לשכנע את חוקרי הרשות. “כפי שעולה מממצאי ההליך, המפלגות ואלקטור לא נקטו באמצעים מספיקים לאבטחת המידע”, כתבו במשרד המשפטים.

החוק אינו מאפשר לרשות להטיל סנקציות כספיות על רוב ההפרות לכאורה של המפלגות ומפתחת האפליקציה, והרשות הסתפקה בהנחיות אבטחת מידע מומלצות לקראת הבחירות שיגיעו שוב, כדי שהמקרה לא יחזור.

אלקטור:  “החולשה תוקנה באופן מידי”

מטעם עו”ד בכור יאמין, ב”כ של חברת אלקטור נמסר: “בתאריך 8 בפברואר 2020, הביאה הרשות להגנת הפרטיות לידיעת חברת אלקטור כי קיימת חולשת אבטחה במערכת. החולשה תוקנה באופן מידי, ולאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן.

מערך הסייבר הלאומי, אף קיבל את כל הרשאות החברה לצורך בדיקת עומק, ואף הגיב לבג”ץ (1311\20) בעתירה שהוגשה כנגד החברה, והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה. להלן תגובת הרשות ומערך הסייבר הלאומי לבג”ץ בעניין זה: “…נכון למועד כתיבת שורות אלו, למיטב הבנת הרשות להגנת הפרטיות ומומחי האבטחה ממערך הסייבר הלאומי שבהם הסתייעה, אמצעי האבטחה של המערכת שופרו, ולא נמצאו, בבדיקות נוספות שבוצעו על ידי הרשות בסיוע מומחי אבטחה ממערך הסייבר הלאומי ליקויים..”

עדות מערך הסייבר הלאומי, הנחשב לאחד מגופי הסייבר הטובים בעולם, מעידה על חוסנה הקיברנטי של החברה. ואכן, חברת אלקטור נמצאת כיום בחזית אבטחת המידע. באותו נושא ראוי לציין כי ביום הבחירות לכנסת ה-23, גופים בינלאומיים רבים (לרבות ממדינות אויב) ניסו לפרוץ ולהפיל את מערכות החברה אולם ללא הצלחה, וזאת בשל חוסנה ואיכותה של המערכת.

לגבי טענות השווא לפיה המערכת כללה מידע רפואי: מערכת אלקטור, ככל מערכת ניהול מידע, מאפשרת הוספת הערות חופשיות, שאינן חלק מובנה מהמערכת. כלומר, אם פעיל מסוים במטה המפלגה החליט לכתוב על דעת עצמו כי מצביע מסוים נכה ויש לדאוג לו להסעה, אין זה תחת שליטתה או אחריותה של החברה. חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבים (כשם שחברת גוגל, למשל, אינה אחראית לתכנים המופצים ב-Gmail או בתוכנות אחרות שבבעלותה).

יתרה מזאת, ביזור ההרשאות במערכת אלקטור, שבו היא מאפשרת חסימת מידע לפי משתמש, בשליטת מנהל המטה המרכזי, אף שיפר את האבטחה באופן דרמטי מהנהוג בעבר, ומנעה שימוש בעותקים מודפסים ודיגיטלים שהיו מגיעים לכל דיכפין.

יחד עם זאת, כאמור, חברת אלקטור תלמד את הממצאים ותפעל על פיהם, כפי שנהגה עד היום. אלקטור תמשיך להיות מהחברות המובילות בתחום מערכות המידע, תוך שימת דגש מיוחד על אבטחת המידע”. 

 

 

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

14 תגובות על "משרד המשפטים: הליכוד, ”ישראל ביתנו” והמפתחת הפרו את החוק להגנת הפרטיות בפרשת ”אלקטור”"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
בלבלבל
Guest

אפשר לבכות עכשיו?

שם כלשהו
Guest

פשוט עצוב שבמדינה שקוראת לעצמה מתקדמת אין שום חוק על אבטחת מידע, החוק הקיים אומר בגדול “המפתח אמור לנקוט בכל אמצעי סביר” מה הוא אמצעי מספק? בגדול כל תרוץ אפילו הכי עלוב מספיק פה.
במדינה נורמטיבית אין שום סיבה בכלל שמשרד הפנים יספק למפלגות כלשהם כמות כזאת של מידע.

ASD
Guest

האמת משנה לשנה אני מתחיל לתהות מי בעצם קורא למדינה שלנו מתקדמת?
אנחנו כנראה מתקדמים יותר מהרבה מדינות אחרות (ע״ע מערכת הבריאות) אבל בכל הקשור למדינה וטכנולוגיה אנחנו כושלים בני כושלים. יש לנו אחלה אינטרנט שמגיע כמעט לכל מקום אבל המדינה לא עושה איתו שום דבר מועיל.

גיל
Guest

בבחירות הקרובות תזכרו *לא* להצביע למפלגות הנ”ל
זאת אומרת *לא* לשים פתק למפלגות ליכוד או ישראל ביתנו

יניב
Guest

השבכ עוקב אחרי כל אזרחי מדינת ישראל כבר קרוב לשנה !! על מה אנחנו מדברים פה?! מי שמבין קצת בנתוני מיקום יודע כמה כסף הם שווים ולא בכדי, כי אפשר למפות עלינו כל דבר, רשת חברתית, משפחה, הרגלי בילוי קניות, ואלו רק הדברים המשעממים, אפשר לדעת נטיה מינית, התנהגות קרימינלית, פרופיל פסיכולוגי, ועוד ועוד. זה שתעשיית ההייטק בישראל שותקת לנוכח גניבת הפרטיות הכי גדולה בהיסטוריה של מדינת ישראל זה פשוט בושה. אנחנו המדינה היחידה שהפעילה מעקב סוכנות חשאית מול האזרחים שלה מתחילת הקורונה. ואם אתם חושבים שלא אכפת לכם מפרטיות אז אתם לא מבינים שפרטיות == חופש.

gal
Guest

מצחיק אותי שאתה חושב ש”אנחנו המדינה היחידה שהפעילה מעקב סוכנות חשאית מול האזרחים שלה”.. חחח מצחיקול.. כולם מרגלים על כולם..

אף אחד
Guest

שכונה

בצל כחול
Guest

אתם בטח שואלים איך יכול להיות שפשלה כזאת קרתה? סיסמאות אדמין מובנות בקוד? אפילו אני בתור כותב סקריפטים חובבן יודע שלא שמים סיסמאות מובנוות בקוד… אז איך זה הגיוני????
אז מי שעבד קצת עם משרדים ממשלתיים או גופיים ציבוריים יודע שהכל עובד בשיטה של “מכרזים”. נשמע הוגן לא? אז זהו שהמכרזים האלו תפורים מראש למי שרוצים שיזכה בצורה של דרישות בלתי אפשריות שרק מועמד אחד יזכה או לחלופין נותנים משקל של 90% לסעיף המחיר. וזה גורם לחברות שכונה, שאין להן מושג בפיתוח פרויקטים בסדרי גודל כאלו, לזכות.

אבל היי, פיתחנו אפליקציה בתקציב של חצי שקל ובכלום זמן. איזה תותחים אנחנו נכון?

אחד שממש לא יודע
Guest
אחד שממש לא יודע

החולשה האמיתית שנותנים להם את המידע..

ערן
Guest

מישהו יודע איך ניתן לדרוש שהמידע לא יגיע לצד שלישי?

בצל כחול
Guest

חחחחח חמוד אתה.

בצל כחול
Guest

נראה לך שזה אושי אושי שאפשר לעשות הסר?

גיל
Guest

נו.. אז דרשת.. ו..?
זכור לי מקרה מלפני שנים שאיזה מפתח שעבד במחקר לסרטן לקח את כל הרשימת חולים של המחקר וצרף אותם לאיזה אתר הכרויות. אתה חושב שמישהו לא דרש שהמידע הזה לא יגיע לאן שהוא הגיע?.. בסופו של דבר אתה לא באמת יודע לאיפה המידע הזה מגיע. אתה לא יודע שבאמת הבטיחו את הביטחון שלך בעקבות המידע הזה.
מה שמגיז לא פחות הוא העובדה שפה מדובר על גוף ממשלתי שאיפלו לא הולך להענש על העבירה הזו. וזו עבירה חמורה מאוד!

resfpry
Guest

זה לא ליקוי אבטחה זה חוסר ידע מעשית בפיתוח מי לעזאזל משאיר בצד לקוח את פרטי התחברות , כיאלו למה זה טוב? הוא מיזה ליצור מערכת לוגין מצד לקוח ? כי אם כן זה טיפשי ברמות אחרות . וגם מי מחזיק דאטה בייס לא מגובב ??

wpDiscuz

תגיות לכתבה: