האפליקציה של סער חשפה כרטיסי אשראי ומידע אישי רגיש

סיסמאות כרטיסי אשראי, מספרי טלפון וסיווג אנשים לפי תמיכתם בגדעון סער - כל הפרטים האלה נחשפו ברשת לאחר שנשאבו בידי אפליקציה שמשרתת את מפלגתו ■ תקווה חדשה: "המערכת לא שואבת מידע, ויש למשתמש היכולת לדלג על פרטים מבלי להעביר אותם, בלי טריקים ובלי שטיקים"

שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
גדעון סער
רפאלה גויכמן
רפאלה גויכמן

אפליקציה שמשרתת את מפלגת תקווה חדשה — בראשות גדעון סער — שואבת את פרטי אנשי הקשר מהטלפונים הניידים של פעילי המפלגה ומפרה את פרטיותם של אנשי הקשר שלא נתנו את הסכמתם למהלך. המאגר הבלתי חוקי שמכיל פרטים אינטימיים של אזרחים, היה חשוף ברשת במשך כשבוע.

את המאגר בונה תקווה חדשה באמצעות אפליקציה בשם קנבסיר (Canvaseer). בעת התקנת האפליקציה, המשתמש — פעיל של המפלגה — מאשר לה לשאוב את כל אנשי הקשר שלו.

לאחר ההתקנה, הפעיל יכול לסווג את אנשי הקשר שלו בשיטה זהה לטינדר. ימינה — בעד; שמאלה — נגד. איש קשר שלפי ההערכה יצביע לסער — יקבל אגודל ירוק, מי שבוודאות לא יצביע לסער, יקבל אגודל אדום.

אולם כאן לא תמו הפרות הפרטיות החמורות שנגרמות מקנבסיר. האפליקציה זמינה למשתמשי אנדרואיד, אך לבעלי אייפון אין יכולת להתקינה — בגלל מדיניות פרטיות קשוחה יותר של אפל.

הפתרון של תקווה חדשה למכשול זה: כדי שבעלי אייפון יוכלו להזין למערכת את אנשי הקשר שלהם, הם מקבלים קוד URL שאותו עליהם להזין לדפדפן. לאחר מכן נפתח מסך שאליו הם מזינים קוד נוסף שקיבלו בסמס. כדי לעבור למסך הבא, הם חייבים לאשר "תנאי שימוש". בשלב הבא הם מקבלים קוד QR שאותו הם סורקים דרך אפליקציית וואטסאפ, וסריקת ה–QR מאפשרת לקנבסיר לקבל גישה לחשבון הוואטסאפ שלהם ולשאוב ממנו את פרטי אנשי הקשר שלהם.

צילום מסך של אחד הקבצים. הפרטים המזהים טושטשו

"הצמדת שם מלא לטלפון הוא מידע שאסור שיהיה פתוח לכל אחד", מסביר מפתח אפליקציות שבחן את המערכת הפרוצה וביקש שלא להיחשף.

לדבריו, "מה שרואים כאן לא חוקי. אין בכלל תנאי שימוש למי שמגיע מאייפון. לא מוצגים לו פרטי המידע שהוא משתף. הלינק למערכת פתוח לכולם וזאת בעיית אבטחה חמורה.

"מפחיד להבין שאנשים לא מבינים את ההשלכות של מה שהם עושים", אומר המפתח. "הם מעבירים לתקווה חדשה את אנשי הקשר שלהם בצורה תמימה, ומסווגים אותם כבעד או נגד גדעון סער. אין שום סיסמה ושום הגנה על הטבלה הזאת. אני יכול באמצעות סקריפט פשוט להוציא את כל המידע הזה ולשמור אצלי. האפליקציה מאוד לא מקצועית. אנשי הקשר שלך מוצגים עכשיו באופן גלוי באינטרנט".

דיווח אסור

"מבחינת חוק הגנת הפרטיות, אסור לדווח על עמדה פוליטית של אזרח אחר ללא הסכמתו" קובעת פרופ' ענת בן דוד, מהמחלקה לסוציולוגיה, מדע המדינה ותקשורת באוניברסיטה הפתוחה. לדבריה, "אם לאדם ממוצע יש לפחות מאה אנשי קשר, לא סביר שיפנה אליהם אחד אחד ויקבל את הסכמתם".

המערכת שאליה מזינים תומכיו של סער מידע, לא מאובטחת כלל. כלומר, מידע אישי שכולל שמות מלאים עם הערות אישיות לגבי אותו אדם — סיווג של קרבה משפחתית, מקום העבודה שלו, כינויי חיבה או גנאי — מופיעים ברשת.

ענת בן דודצילום: עופר וקנין

מידע זה מוצלב לצד מספרי טלפון ועמדה פוליטית. אם לא די בכך, המפלגה מקבלת גם גישה ישירה לוואטסאפ של חלק מהפעילים בעלי מכשירי אייפון — ללא תנאי שימוש וללא מדיניות פרטיות.

"מדובר במרוץ לתחתית. ברגע שמפלגה אחת עושה את זה, כולן באות אחריה, וזאת נורמליזציה של קמפיין מבוסס מעקב אחרי אזרחים", אומרת בן דוד.

לדבריה, "למפלגות יהיה קשה להיפרד מההבטחה שזה יכול למקסם תוצאות בקלפי. התוצאה היא שהנורמה הפוליטית של קמפיין בישראל היא לא לשכנע על עמדות או סוגיות חשובות, אלא להלשין למפלגה על העמדות של חברים שלנו".

קנבסיר היא מערכת שדומה מאוד לאלקטור — האפליקציה ממנה דלף לפני כשנה מאגר שמבוסס על פנקס הבוחרים ובו רשימה של 6.5 מיליון אזרחים בעלי זכות הצבעה. תקווה חדשה מקווה להשיג שני דברים באמצעות קנבסיר: העשרת מאגרי המידע של המפלגה הצעירה, בנתונים שמבוססים על חוכמת ההמונים — האזרחים עצמם, שיודעים אם החבר, קרוב המשפחה, השכנה או הקולגה, יצביעו או לא למפלגה.

המטרה השנייה היא לספק למפלגה מערכת — שביום הבוחר תסייע לה להגיע מהר לבוחרים פוטנציאלים שעוד לא הצביעו.

"רק לי יש גישה"

סרקנו את המאגר של תקווה חדשה, שכלל 11 אלף איש. המערכת מבוססת על טבלת אקסל, כשבטור הימני מופיע שמו של תומך המפלגה שהזין את המידע, אחריו טור עם מספר הטלפון של איש הקשר שהוא שיתף, שמו הפרטי ושם משפחה. הטור האחרון מציין אם הוא תומך או לא בגדעון סער.

במאגר הפרוץ מצאנו את מספרי הטלפון של גאולה אבן, רעייתו של גדעון סער, וידוענים אחרים — אך גם מידע רגיש בהרבה. כך למשל, אחת הפעילות שמרה ברשימת אנשי הקשר שלה את פרטי כרטיסי האשראי שלה — "קוד סודי פועלים ישיר" ו"קוד ישראכרט", לצד מספר האשראי. משתמשים אחרים שומרים לצד מספרי הטלפון, את מקצוע אנשי הקשר, או תיאורים אחרים כמו "בעלי", "עובד סוציאלי", "רופא נשים" ועוד.

צילום מסך של דיווח על אחד מאנשי הקשר

המפלגה ביצעה בשבוע האחרון סדרת הדרכות לפעיליה בזום. פעיל בשם בני ספרא, עולה מדי ערב בשעה 19:00 להדרכת הזום, בה הוא מסביר לפעילים כיצד לתפעל את קנבסיר, ולעזור למפלגה לאסוף מידע אישי על אזרחים לטובת הבחירות.

כך הסביר ספרא לפעילים במפגש ההדרכה בזום: "האפליקציה נועדה בעיקר לכך שאתם תהיו אלה שמתקשרים עם האנשים, שאתם יודעים שיצביעו לסער, או שאפשר לשכנע אותם להצביע לו. אני לא יודע מי זה דני מהמכולת או אהובה שלי. האפליקציה תעזור לכם להגיע מהר ל–30–20 האנשים האלה. תארו לעצמכם איזה כוח יש לדבר הזה, ככה אנחנו מביאים שובר שוויון מול אלה שיש להם מערכות משלהם".

לשאלת אחד המשתתפים, האם אנשי קשר שלהם יודעים שהם הוכנסו למאגר קנבסיר, ענה ספרא "לא, אפילו יותר מזה. ביום הבחירות הם מקבלים מכם טלפון ולא מאתנו. הרשימה הזאת רק אצלכם ורק לי יש גישה לראות את כל המידע הזה".

"מערכת המכבדת את פרטיות המשתמשים"

מהרשות נמסר: "הנושא נבדק על ידי הרשות אל מול הגורם הרלוונטי המספק לבעל המאגר שירותים דרך אפליקציית קנבסיר, והיא הורתה לו, בשלב ראשון, להוריד את המערכת מהאוויר ולתחקר את האירוע על ידי הגורמים המקצועיים הרלוונטיים".

יממה לאחר פנייתנו, המערכת הוסרה מהרשת. משיחה עם גורמים שונים, התברר כי היתה זמינה במשך כשבוע.

ממפתחת האפליקציה, חברת פוליפון, לא התקבלה תגובה.

ממפלגת תקווה חדשה נמסר: "מערכת קנבסיר נבנתה כמערכת המכבדת את פרטיות המשתמשים ולכן, בניגוד לאפליקציה דוגמת האלקטור, המערכת למשתמש הקצה היא חד־צדדית בלבד. היא רק יכולה לשלוח פרטים ולא לקבל מידע מהמפלגה או משתמשים אחרים.

"כל מידע שעובר נבחר אקטיבית לעבור על ידי המשתמש. המערכת לא שואבת מידע ויש למשתמש היכולת לדלג על פרטים מבלי להעביר אותם, בלי טריקים ובלי שטיקים. הלוג שנחשף הוא כלי ביניים לניהול מפגשי הפעילים, הוא עובר סינון שני, שבו נמחקים כלל הפרטים שאינם טלפונים ונמחק אחת ליום. תקווה חדשה פועלת לפי כללי אבטחת המידע ושמירה על פרטיות המחמירים ביותר".

לחצו על הפעמון לעדכונים בנושא:

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker