אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
צ'ק פוינט: אפליקציית העבודה שותה מידע פרטי, בזו של הליכוד יש ליקויי אבטחה צילום: אלכס קולומויסקי, עמית שעל

צ'ק פוינט: אפליקציית העבודה שותה מידע פרטי, בזו של הליכוד יש ליקויי אבטחה

חוקרי חברת האבטחה ניתחו את יישומיהן הרשמיים של המפלגות, ואיתרו כשלים שמאיימים על פרטיות ואבטחת המשתמשים. אפליקציית מפלגת העבודה אספה מידע באופן שאיפשר למפות את הקשרים בין המשתמש ובין אנשים ברשימת הטלפונים שלו, ואילו אפליקציית הליכוד חשפה תוכן אישי

27.03.2019, 12:31 | צלי גרינברג

פרצות אבטחה חמורות התגלו באפליקציות של מפלגות הליכוד והעבודה - כך הודיעה צ'ק פוינט, שחשפה אותן. החברה לא בחנה יישומים של מפלגות אחרות ככחול לבן, שכן אין להן אפליקציות רשמיות. 

קראו עוד בכלכליסט

חוקרי צ'ק פוינט גילו שאפליקציית מפלגת העבודה מחלצת ושומרת רשימות אנשי קשר של משתמשיה ללא ידיעתם ומעלה אותם לשרת חיצוני, תוך שהיא ממפה את הקשרים החברתיים של המשתמשים על בסיס ניתוח שמות אנשי הקשר, ככל הנראה כדי למפות את טיב הקשר בין המשתמש לבין אנשי הקשר שלו. בכך תוכל העבודה לבנות רשת קשרים חברתיים ולמשל, למפות מצביעים פוטנציאליים.

אבי גבאי, ראש מפלגת העבודה, צילום: עמית שעל אבי גבאי, ראש מפלגת העבודה | צילום: עמית שעל אבי גבאי, ראש מפלגת העבודה, צילום: עמית שעל

באפליקציה של העבודה תוארה הגישה לרשימת אנשי הקשר ככלי שנועד "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך... תוכן השיחות לא ינוטר ו/או ישמר על ידי המפלגה". אלא שמיד עם מתן הגישה לפרטי אנשי הקשר של המשתמש ולחיצה על כפתור ה"התחל להשפיע", נשלחים כל פרטי אנשי הקשר שנמצאים על מכשיר הטלפון למאגר המידע של המפלגה, כולל שמות, מספרי טלפון וכתובות מייל.

"כך האפליקציה מאפשרת למפלגה לעבור על כל אנשי הקשר של המשתמש ולאתר את האנשים הקרובים אליהם על ידי חיפוש סיומות ותחיליות חיבה והקטנה המוצמדות לשם, ומילות קירבה ואהבה" נכתב בסיכום דו"ח צ'ק פוינט, וציינה את הדוגמאות: "אמא, אבא, סבתא, לדוגמה, יסווגו כקשרים קרובים, כמו גם כל מי שמסתיים ב-צ'וק, צ'יק, ל'ה, אשר ישמרו במאגר המידע כבעל קשר קרוב במיוחד אל המשתמש". בחברה ציינו, עם זאת, כי המידע עובר באופן מוצפן.

באפלקציית הליכוד התגלו ליקויים שונים: לפי צ'ק פוינט, ניתן לחלץ את פרטי המשתמשים בקלות ולבנות רשימות כתובת מגורים, מייל, מספרי טלפון, מצב משפחתי ונתונים דמוגרפיים נוספים.

ראש הממשלה בנימין נתניהו, צילום: אמיל סלמן ראש הממשלה בנימין נתניהו | צילום: אמיל סלמן ראש הממשלה בנימין נתניהו, צילום: אמיל סלמן

"למרות שממשק הניהול של האפליקציה, המשמש את המפעילה לנהל את מאגרי המידע, דורש הזדהות של שם משתמש וסיסמה", כתבו חוקרי צ'ק פוינט, "הוא נמצא נגיש לאינטרנט וחשוף למתקפות סייבר".

לפי החברה, בפריימריז שנערכו בליכוד בחודש שעבר היו חברים במפלגה יותר מ-119 אלף איש, שפרטיהם האישיים היו חשופים לגניבה. 

ממפלגת העבודה נמסר בתגובה: "מודים לחברת צ'ק פוינט שציינה לחיוב את רמת אבטחת המידע של מפלגת העבודה.

מטרת האפליקציה היא לאפשר לפעילי המפלגה לשכנע את חבריהם באמצעות העברת תכנים באופן ישיר. לשם כך האפליקציה נדרשת לגשת לאנשי הקשר של המשתמש. הטענה המוצגת איננה נכונה מאחר וכדי לקבל גישה לרשימה נדרשת הסכמתו של המשתמש באפליקציה, כפי שנדרש בחנויות האפליקציות וכפי שעושות עוד אלפי אפליקציות ברחבי העולם. מיפוי אנשי הקשר נעשה עבור שיפור חוויית המשתמש בלבד והוא אינו נשמר".

מהליכוד נמסר: "קיבלנו את פניית צ׳ק פוינט, טיפלנו בפירצה מייד - מידע אישי לא דלף ושום נזק לא נגרם".

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות