הרשות להגנת הפרטיות מאשרת את הדיווחים בעיתונות: ב"אלקטור", אפליקציית "ניהול הבוחרים" שנמצאת בשימוש הליכוד, אותרו ליקויי אבטחה חמורים שגרמו לדליפת פנקס הבוחרים. ברשות מאשרים כי בעקבות ליקויי האבטחה נפוצו ברשת פרטיהם האישיים של קרוב ל-6.5 מיליון האזרחים בעלי זכות הבחירה בישראל. ברשות מוסיפים כי חלק מהליקויים טרם תוקנו.

ברשות להגנת הפרטיות, שפועלת תחת משרד המשפטים, מדגישים שמדובר במסקנות ביניים, ושהחקירה שנפתחה בשבוע שעבר עדיין נמשכת. עם זאת, כבר כעת קובעים שם כי חברת "אלקטור", מפעילת האפליקציה, "לא עמדה לכאורה בדרישות החוק ובתקנות הגנת הפרטיות".

לפי עמדת הרשות, "כשלי אבטחה חמורים" אִפשרו ל"גורמים ללא הרשאה לקבל גישה למידע ולבצע פעולות בלתי מורשות במערכת". נציגי הרשות הוסיפו: "נראה כי קובץ על אודות יותר מ-6.4 מיליון אזרחי המדינה, המכיל מידע מפנקס הבוחרים לבחירות לכנסת ה-23, דלף לרשת האינטרנט. ממצאי הביניים של הליך הפיקוח מעלים כי ככל הנראה מקור הדלף הוא בכשלי אבטחה חמורים שהתגלו באפליקציה".

המסקנות הללו הוגשו היום (16.2) לוועדת הבחירות המרכזית בתגובה לעתירה שהגישו עורכי-הדין שחר בן-מאיר ויצחק אבירם, הדורשים לעצור את השימוש ב"אלקטור". חרף הקביעות החריפות, נציגי הרשות – שמייצגים גם את היועץ המשפטי לממשלה – מבקשים לדחות את העתירה. לטענתם, ליו"ר ועדת הבחירות המרכזית אין סמכות לדון בטענות. בכך מצטרפים נציגי המדינה לעמדת הליכוד וחברת "אלקטור". לדבריהם, עצם השימוש באפליקציה – כפי שתואר בתגובת הליכוד – "לגיטימי ומקובל".

"נראה כי קובץ על אודות יותר מ-6.4 מיליון אזרחי המדינה, המכיל מידע מפנקס הבוחרים לבחירות לכנסת ה-23, דלף לרשת האינטרנט. ממצאי הביניים של הליך הפיקוח מעלים כי ככל הנראה מקור הדלף הוא בכשלי אבטחה חמורים שהתגלו באפליקציה"

"אלקטור" היא חברה פרטית שמפעילה אפליקציה ל"ניהול בוחרים". הלקוח, במקרה זה הליכוד, מזין לאפליקציה את פנקס הבוחרים – מאגר המידע ובו פרטיהם האישיים של כ-6.5 מיליון בעלי זכות הבחירה בישראל. לצד המידע היבש, שכולל כתובת מגורים וקלפי שבה כל אזרח ואזרחית אמורים להצביע, המאגר של הליכוד כולל גם מידע על ההעדפות הפוליטיות המיוחסות להם. המידע הזה נאסף ונשמר במסגרת מבצע איסוף רחב היקף שמתבצע בעידודו האישי של ראש הממשלה, בנימין נתניהו.

חושף פרצת האבטחה, מפתח התוכנה רן בר-זיק, חשף בטור שפורסם היום ב"הארץ" כי מלבד תיוגם של האזרחים כתומכים ו"לא תומכים" של הליכוד, מפעילי המאגר הצמידו לחלקם גם הערות אישיות. בהערה שהוצמדה לאחד הבוחרים, למשל, נכתב כי "האדם הזה הוא חפרפרת של כחול-לבן. נכנס ב-28 בינואר לקבוצת 'דווקא נתניהו ורק הליכוד' וליכלך חופשי על ראש הממשלה. דאגתי שהוא יועף מהקבוצה". בדוגמה אחרת, אשה כלשהי תויגה כתומכת ש"חולה על ביבי, אבל אחרי שחרור נעמה [יששכר] כועסת".

זהו מידע רגיש, שדליפתו עלולה לא רק להפר את הפרטיות של אזרחי המדינה, אלא גם לפתוח פתח לתעמולה מניפולטיבית שנתפרת לפי מאפייניהם האישיים, בדומה לשיטת הפעולה שנחשפה בשערוריית קיימברידג'-אנליטיקה. דליפת מאגר המידע בשלמותו עלולה לגרום גם לאפליה על בסיס פוליטי – למשל, בעת קבלה לעבודה.

שתי פרצות חדשות באפליקציה

מהעתירה שהוגשה לוועדת הבחירות, שעליה דווח לראשונה באתר "העין השביעית", עלה כי בליכוד הפיצו ברבים הרשאות שימוש ב"אלקטור" בלי לאמת כראוי את זהותם של המשתמשים. כתוצאה מכך, פעילי שמאל וחוקרים הצליחו להיכנס למערכת ולצפות במידע השמור בה.

החשש מפני דליפה של מאגר המידע התממש ימים אחדים לאחר הגשת העתירה, כשרן בר-זיק חשף ב"הארץ" ובחדשות 12 כי פרצת אבטחה אִפשרה לכל אדם להוריד למחשב את מאגר המידע בשלמותו. לאחר הפרסומים התייצבו נציגי הרשות להגנת הפרטיות במשרדי חברת "אלקטור", ובמקביל נחסם השימוש באפליקציה. יומיים לאחר מכן האפליקציה שבה לשימוש, בטענה שהפרצה תוקנה.

הבוקר דווח ב"כלכליסט" על איתור של שתי פרצות אבטחה נוספות באפליקציית "אלקטור". הפרצות החדשות אִפשרו שוב להעתיק את כל מאגר המידע, וגם את קוד המקור של האפליקציה

ואולם, הבוקר דווח ב"כלכליסט" על איתור של שתי פרצות אבטחה נוספות, שנחשפו על-ידי בר-זיק וההאקר נעם רותם. הפרצות החדשות אִפשרו שוב להעתיק את כל מאגר המידע, וגם את קוד המקור של האפליקציה.

חברת "אלקטור" והליכוד, בתגובות שהגישו לוועדת הבחירות המרכזית, ניסו לגמד את פרצת האבטחה וטענו כי מדובר בתקלה נקודתית שנמשכה זמן קצר בלבד – ש"נמדד בשניות". לטענת צוריאל ימין, מנהל "אלקטור", לאחר מכן נקטה החברה ב"כל האמצעים הנדרשים לחסימת הפרצה ומניעת חדירות לא מאושרות למערכת".

בשבוע שעבר הצבענו כאן על קביעות מופרכות שהופיעו בגרסאות שמסרו הליכוד ו"אלקטור" לוועדה. תגובת הרשות להגנת הפרטיות והיועץ המשפטי לממשלה שהוגשה היום מוכיחה גם היא כי הקביעה של הליכוד ו"אלקטור" אינה נכונה. בתגובה, שהוגשה על-ידי עורכי-הדין אבי מיליקובסקי ואילנית ביטאו ממחלקת הבג"צים בפרקליטות המדינה, נטען כי כמה מהליקויים תוקנו – אך אחרים עדיין נמצאים ב"הליכי תיקון". "לא ניתן לומר באופן חד-משמעי כי תקלה שהתרחשה איננה עלולה לשוב על עצמה", הוסיפו.

לדברי עורכי-הדין שמייצגים את המדינה, רק עם סיום החקירה ניתן יהיה לקבוע מי נושא באחריות להפרת החוק לכאורה. יצוין כי מסמך הנחיות שהפיצה לאחרונה הרשות להגנת הפרטיות קבע במפורש כי המפלגות נושאות באחריות לשמירה על פרטיות הבוחרים גם כאשר המידע עליהם מועבר לצדדים שלישיים, למשל אפליקציות מסוגה של "אלקטור".

יו"ר ועדת הבחירות המרכזית, שופט בית-המשפט העליון ניל הנדל, יכריע בקרוב אם לקבל את העתירה או לדחות אותה.

* * *

לעיון בתגובת הרשות להגנת הפרטיות והיועץ המשפטי לממשלה

להורדת הקובץ (PDF, 470KB)