בחירות 2019 – אפליקציות של המפלגות הגדולות סובלות מפרצות אבטחה חמורות

מאת:
 צוות אתר בלוק
תגובות 0

ממחקר חדש של חברת אבטחת המידע הישראלית צ'ק פוינט עולים ממצאים מדאיגים; חורי אבטחה חמורים נמצאו באפליקציות המובייל של מפלגות הליכוד והעבודה

מהן פרצות האבטחה באפליקציית העבודה?

במחקר נכתב כי "אפליקציית העבודה לבחירות 2019 נכתבה על ידי בית התוכנה Runloop והיא מאפשרת למשתמש להתעדכן בחדשות, וגם להשפיע". בתנאי השימוש של האפליקציה נדרשים המשתמשים לאשר גישה לאנשי הקשר שלהם כדי "לאפשר ליצור ולחזק קשרים עם אנשי הקשר". "אלא שמיד עם מתן הגישה לפרטי אנשי הקשר של המשתמש ולחיצה על כפתור 'התחל להשפיע', נשלחים כל פרטי אנשי הקשר שבמכשיר הטלפון למאגר המידע של המפלגה, כולל שמות, מספרי טלפון וכתובות אימייל". "בנוסף לכך, באפליקציה קיימת פונקציונליות של סיווג מידת הקשר של המשתמש עם איש הקשר הרלוונטי, כנראה מתוך כוונה ליצור רשימה של אנשי קשר קרובים אליו במיוחד שתישמר במאגר הנתונים של המפלגה". מדובר לכאורה בהפרה של חוק הגנת הפרטיות וכן של כללי חנויות האפליקציות של אפל ושל גוגל.

מהן פרצות האבטחה באפליקציית הליכוד?

"לליכוד קיימת אפליקציה רשמית לסלולר שפיתחה חברת Bosonet ועודכנה בספטמבר 2018. היא נועדה בעיקר לחיזוק הקשר של המשתמש עם המפלגה, תוך שהיא מספקת מידע אקטואלי על המפלגה ונציגיה, ופעילותם ברשתות החברתיות", כך עולה בדו"ח.

"האפליקציה מהווה למעשה חיבור ישיר למאגר המידע של הליכוד. היא מאפשרת, באמצעות מספר תעודת זהות, לבדוק אם אדם הוא חבר ליכוד, ועבור חברי הליכוד ניתנת גישה מלאה לכל הפרטים של כל חברי המפלגה, לרבות שמות, טלפונים, כתובות אימייל, כתובות מגורים ותפקידיהם במפלגה. האפליקציה מסתמכת על שני שרתים לצורך אחסנת המידע והפונקציות השונות שבה. התקשורת עם השרתים הללו מתבצעת בפרוטוקול http לא מאובטח כך שהפרטים הרגישים שמזין כל משתמש, הכוללים מספר תעודות זהות ופרטי כרטיס אשראי, חשופים לעיני צדדים שלישיים".

"בפריימריז האחרונים של המפלגה, שנערכו בפברואר השנה, היו חברים במפלגה יותר מ-119 אלף חברים רשומים. הליקויים שנמצאו בבדיקה חושפים פרטים בעלי ערך כלכלי ואישי רגיש של ציבור גדול מאוד והופכים את המאגר ליעד אטרקטיבי לתקיפות מסוג שאנחנו עדים להן כל יום. מעבר לערך הנתונים האישיים, ברור שגם לחשיפת מאגר של עשרות אלפי אנשים המשויכים פוליטית, יש משמעות וערך עבור מפלגות אחרות וגורמים נוספים".

בסיכום המחקר נכתב כי בעת האחרונה "דובר רבות על מתקפות השפעה ברשתות החברתיות ואנו למדים יותר ויותר על יכולות התקפיות של מדינות וגופים שונים בממד הסייבר. ואולם לרוב אנו מתעלמים מהגורם המאפשר מתקפות אלו – נגישות למידע רגיש אותו אנו משתפים, לעיתים גם ללא כל כוונה. מידע רגיש כמו דעה פוליטית, קשרים חברתיים, נתונים דמוגרפים, מספרי טלפון וכתובות שלנו ושל הקרובים אלינו, יכולים לסייע רבות לגורמים השונים הפועלים במרחב הסייבר".

מפלגת הליכוד מסרה בתגובה כי "קיבלנו את פניית החברה, טיפלנו בפרצה מייד ושום נזק לא נגרם".

לקריאת הדו"ח המלא לחצו כאן

למידע נוסף ראו מקור:

פרצות אבטחה חמורות התגלו באפליקציות שתי מפלגות

0 תגובות

הצג:
הוסף תגובה
"> ">

    -->