חברה ישראלית סיפקה לממשלת סעודיה שירותי פריצה לטלפון - ללא פיקוח

נציג סלברייט הגיע לריאד מלונדון, ופרץ למכשיר סמסונג S10 לבקשת משרד התובע הכללי בסעודיה ■ סלברייט: "פועלים בכפוף לכללים ולא מוסרים מידע על לקוחות"

גור מגידו
גור מגידו
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
מרכז קניות בריאד, בירת סעודיה
מרכז קניות בריאד, בירת סעודיהצילום: בלומברג

בנובמבר 2019 נחת נציג של חברת סלברייט הישראלית בשדה התעופה קינג ח'אלד, בריאד בירת סעודיה. הנציג, אזרח זר ששמו שמור במערכת העיתון, הגיע בטיסה אזרחית מלונדון, כדי לבצע פריצה לטלפון שהחזיק משרד המשפטים הסעודי. עוד בטרם נחת הפורץ, סוכמו פרטי הביקור.

בסלברייט (Cellebrite) דרשו מהסעודים שהעובד יתקבל על ידי נציג ממשלתי בשדה התעופה, ויועבר דרך ביקורת הגבולות בלי שיידרש להחתים את דרכונו ובלי שהציוד האלקטרוני שיביא עמו ייבדק או ייצא משליטתו. משם, סוכם מראש, הפורץ יילקח לחדר מלון מבודד, שבו התחייבו הסעודים לא להתקין מצלמות - שם בוצעה מלאכת הפריצה והעתקת המידע. עם תום העבודה, הוחזר הנציג לשדה התעופה, וחזר ללונדון.

סלברייט היא לא החברה הישראלית היחידה שמספקת שירותי פריצה או סייבר אחרים, לממלכה הסעודית - אבל היא כנראה היחידה שעושה זאת ללא פיקוח משרד הביטחון הישראלי. באחרונה נחשף כי סלברייט לא נרשמה כיצואנית ביטחונית כפי שמחייב החוק, ולכן גם לא היתה כפופה לפיקוח האגף לפיקוח על היצוא הביטחוני במשרד הביטחון (אפ"י) - בגלל מה שמצטייר כמחדל של החברה, וייתכן שגם של משרד הביטחון.

החברה, שלדבריה משרתת כוחות שיטור וביטחון בכ–150 מדינות, סווגה עד כה כיצואנית של שירותים אזרחיים דו־שימושיים, בפיקוח משרד הכלכלה. באוגוסט, בעקבות טענות על שירותים שסיפקה למשטרת הונג קונג, התנער משרד הכלכלה מהפיקוח על כל שירות שמספקת סלברייט לכוחות שיטור, וגלגל את האחריות למשרד הביטחון - שמסרב להתייחס לשאלה מדוע החברה לא חויבה להירשם כיצואנית ביטחונית.

יוסי כרמיל, מנכ"ל סלברייט
יוסי כרמיל, מנכ"ל סלברייטצילום: אייל טואג

פתרון לשליפת מידע ממכשיר שבידי הלקוח

סלברייט פיתחה מערכת המכונה UFED, שיכולה לשמש לצרכים אזרחיים, כמו גיבוי תוכן במכשירי טלפון חכם - וכן לצורכי ביטחון או ביטחון פנים, כמו חקירות. הטכנולוגיה של החברה לא רק מאפשרת פריצה לסמארטפונים והעתקת מלוא המידע השמור בהם - כולל תכתובות, מיקומים, קובצי שמע, וידאו ותמונה - אלא גם שחזור מידע שהיה על המכשיר ונמחק בעבר.

בשונה מטכנולוגיה של כמה חברות ישראליות אחרות, שפעלו גם בסעודיה, לא מדובר בכלי פריצה מרחוק. זהו פתרון שמשמש כדי להוציא מידע ממכשירים המוחזקים פיזית בידי הלקוח.

במקרה שפרטיו הגיעו לידי TheMarker, נעשתה פריצה למכשיר מסוג סמסונג S10, לבקשת משרד התובע הכללי בריאד. זהות בעלי המכשיר אינה ידועה ל–TheMarker וספק אם היתה ידועה לסלברייט עצמה.

ככל הידוע, סלברייט לא התעמקה בשאלה, למכשיר של מי היא פורצת, אבל התנתה את השירות בכך שהסעודים יתחייבו כי החזקת המכשיר והפריצה אליו חוקיות, על פי החוק הסעודי. במועד מתן השירות על ידי סלברייט, העולם כבר ידע כמה חסר עכבות משטרו של יורש העצר הסעודי, מוחמד בן סלמן (MBS), האיש שבמידה רבה קובע בשנים האחרונות מהו החוק הסעודי, וכיצד ייאכף.

הממשל האמריקאי, בראשות הנשיא דונלד טראמפ, ובני בריתו, כולל ישראל, עשו לא מעט כדי להדחיק את סימני השאלה שהציפו רדיפה, מעצרים ולעתים גם עדויות על עינוי מתנגדי משטרו של בן סלמן בסעודיה. אבל זה נעשה הרבה פחות אפשרי בסוף 2018, בעקבות חיסולו של הפובליציסט מתנגד המשטר, ג'אמל חשוקג'י בטורקיה.

הפגנת מחאה במינסק, בירת בלארוס
הפגנת מחאה במינסק, בירת בלארוסצילום: Dmitri Lovetsky/אי־פי

כפי שהיה ידוע בזמן שסלברייט סיפקה את השירות לסעודים, קבוצה של כ–15 נאמניו של בן סלמן רצחה וביתרה את גופתו של האזרח הסעודי הגולה, ובהמשך נפטרה משאריות גופתו במבצע מאורגן שהתרחש בבניין הקונסוליה הסעודית באיסטנבול.

בעקבות הפרשה, הופנה הזרקור לפעילות סייבר אחרת שמקורה בישראל. חבר קרוב של חשוקג'י וארגון Citizen Lab, הפועל מטורונטו, קנדה, טענו כי מכשיר הטלפון שלו נפרץ - והפנו אצבע מאשימה אל חברת הסייבר הישראלית NSO, שהעניקה שירותי פריצה מרחוק לטלפונים ניידים למשטרו של בן סלמן. NSO הכחישה את הטענות למעורבות במבצע החיסול, אבל המשיכה במתן השירות לסעודים.

כשנה לאחר רצח חשוקג'י, באוקטובר 2019, בעוד סלברייט מנהלת מגעים עם הסעודים לקראת מבצע הפריצה שפרטיו התפרסמו כאן לראשונה, התפרסם ראיון עם מנכ"ל סלברייט, יוסי כרמיל, באתר ynet. כשנשאל אודות ההבדלים המוסריים בין שירותי סלברייט לאלה של NSO, התקומם כרמיל על ההשוואה: "אנחנו נמצאים בעולם המורשה של המשטרה, שהיא מאוד מוגבלת בסמכויות שלה, להבדיל מהעולם של לקוחות NSO ואחרים, ששם עושים גם דברים בלתי חוקיים וגם דברים מוסתרים. סלברייט נמצאת לחלוטין באזור הטוב, עם צו שופט, אנחנו לא מייצרים כלי פריצה לגופים פרטיים או גופי ביון”.

מ–FBI ועד לוקשנקו

סלברייט הוקמה ב–1999. בתחילת דרכה התרכזה בתחום של גיבוי וסנכרון מידע בין טלפונים. ב–2007 היא נמכרה לתאגיד היפני סאן קורפוריישן (Sun Corporation) בכ–17 מיליון דולר - והמשיכה לפעול ממשרדיה בפתח תקוה, שם היא מעסיקה מאות עובדים. בתקופה שבה נמכרה לסאן, סלברייט התחילה להתמקד בתחום "הפורנזיקה הטלפונית".

כל עוד שיווקה החברה את מוצריה ללקוחות אחראיים, הם גם שימשו למטרות ראויות, כמו פענוח פשעים ומלחמה בטרור. ב-2016 זכתה החברה לפרסום עולמי לאחר שסייעה ל–FBI האמריקאי לפרוץ למכשיר האייפון של המחבל מפיגוע הירי בסן ברנדינו, קליפורניה, שבו נהרגו 14 בני אדם. הפריצה למכשיר, שעבורה שילם FBI על פי פרסומים בארה"ב 900 אלף דולר, ייתרה את ההליכים המתוקשרים שבמסגרתם ביקשה הרשות הפדרלית לחייב את חברת אפל לאפשר גישה למכשיר.

באחרונה פורסם ב"הארץ" כי סלברייט שיווקה את שירותיה לשני משטרים שהתמודדו עם מחאות פוליטיות, וניסו לדכא אותן באמצעים אלימים - בבלארוס ובהונג קונג. בבלארוס מתמודד הרודן, אלכסנדר לוקשנקו, עם הפגנות המוניות בשל טענות לזיוף תוצאות הבחירות שנערכו באוגוסט, ולמען החלפת שלטונו. במסגרת המאמץ לעצור את ההפגנות, נעצרו אלפי פעילים, כולל מנהיגי המחאה, וחלקם נאלצו לעזוב את המדינה.

בהונג קונג, המתקרבת בשנים האחרונות לממשל המרכזי בסין, נחקק ביולי חוק הביטחון - שבין השאר מגדיר פעולות מחאה בסיסיות כפעילות טרור. סלברייט סיפקה שירותים למשטרת הונג קונג עוד לפני כן, אבל הטכנולוגיה שלה המשיכה לשרת את המשטרה גם כשזו החרימה מכשירי טלפון של אלפי מפגינים עצורים, חלקם נפרצו באמצעות הכלים של סלברייט, כולל זה של אחד ממנהיגי המחאה, ג'ושוע וונג, כפי שמראים מסמכים שצורפו לעתירה שהגיש באחרונה בישראל עו"ד איתי מק.

באוגוסט פנה מק למינהל סחר חוץ במשרד הכלכלה, המפקח על פעילות החברה, וביקש לעצור את היצוא להונג קונג. מנהל המינהל, אוהד כהן, מסר תשובה מפתיעה - שחשפה כי פעילות החברה ה"אזרחית" אינה מפוקחת: "הטובין המיוצאים מיודעים למשתמש סופי שהוא כוח משטרה או כוחות ביטחון, ולפיכך הסמכות על פי דין לפיקוח על טובין אלה מצויה בידי משרד הביטחון". אלא שהחברה ומשרד הביטחון אפילו אינם מנסים לטעון שהחברה נתונה לפיקוח כלשהו.

מק וכ–60 פעילי זכויות אדם ישראלים הגישו עתירה מינהלית לבית המשפט המחוזי בתל אביב, בדרישה שמשרד הביטחון יתחיל לפקח על סלברייט - ויורה לה להימנע ממתן שירותים לממשלת הונג קונג.

מסלברייט נמסר: "סלברייט מפתחת טכנולוגיה המסייעת לגופי אכיפת חוק לאסוף ראיות דיגיטליות ולהאיץ חקירות מורכבות בכפוף לחוק. הטכנולוגיה שלנו משמשת ב–154 מדינות ואיפשרה להשיג הרשעות ביותר מ–5 מיליון תיקי פשיעה חמורים כמו רצח, אונס, סחר בבני אדם ופדופיליה. איננו מוסרים מידע על לקוחותינו ופעילותם. אנו מספקים את הפתרונות שלנו לגופים מורשים בלבד, ומיישמים מגוון כלים המכתיבים את האופן שבו ניתן לעשות בהם שימוש. בנוסף, אנו פועלים בכפוף למדיניות ברורה וכללים בינלאומיים מקובלים, כדי להימנע מקיום קשר עסקי עם גופים הנתונים תחת מגבלות בינלאומיות".

ממשרד הביטחון נמסר: "המשרד אינו מוסר פרטים אודות מדיניות היצוא הביטחוני ובכלל זה אינו מתייחס לרישיונות ספציפיים או לרשומים במרשם היצוא, וזאת מטעמים ביטחוניים, מדיניים ואסטרטגיים".

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker