בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

אזרח סייע לג'וינט לתקן דליפת מידע חמורה. תגובתם עלולה לסבך אותו

מסמכים רגישים של סטודנטים שביקשו לקבל מלגה מהארגון היהודי כתנועות עו"ש, אישורי ביטוח לאומי וסיכומים רפואיים הפכו נגישים לכל בגוגל. הגולש שגילה והתריע על כך קיבל שיחת טלפון מלחיצה

115תגובות
מטה ארגון הג'וינט בגבעת רם
פארוק

דליפות מידע, כך למדנו בשנים האחרונות, לא תמיד מגיעות כתוצאה מהתקפה של פושעי סייבר-סייבר מיומנים החמושים בקפוצ׳ונים ובידע טכנולוגי יוצא דופן. לעיתים קרובות קורה הכשל בגלל רשלנות או בשל חוסר ידע מקצועי של בוני האתר, המנוצלים בעזרת כלי הפריצה המשוכלל גוגל. וזה בדיוק מה שקרה עם אתר הגשת המלגות של הארגון היהודי "הג'וינט".

בשנים האחרונות אמנם הפכנו אדישים והפסקנו להתרגש בכל פעם שדולפים השמות, תעודות הזהות והכתובות שלנו - אלה ממילא חשופים כבר לכל המעוניין עקב דליפת המידע במערכת "אלקטור", ונמצאים באמתחתם של המוני בוטים בטלגרם. כל מי שרוצה יכול להזין אליהם שם ולקבל בחזרה את מספר תעודת הזהות וכתובתו העדכנית של כל אזרח בישראל. אך יש גם מסמכים רגישים יותר, שהגעה שלהם לידיים הלא נכונות עלולה להפוך אדם ליעד למתקפה או לסחיטה. לדוגמה תיעוד חשבון העובר והשב שלנו, מסמכי ביטוח לאומי וכן אישורים על נכויות ומחלות כרוניות - את כולם נתבקשו סטודנטים המעוניינים במלגה של הג'וינט להגיש, והפכו בתורם זמינים בגוגל.

אתר הגשת המלגות שהורד מהאוויר
צילום מסך: שמואל לנצ'נר

במקרה הטוב, מגלים את דליפות המידע הללו בזמן אזרחים בעלי כוונות טובות, חלקם אף ללא רקע טכני. במקרה המדובר היה זה שמואל לנצ׳נר, סטודנט חרדי בקורס מיישם הגנה והתקפת סייבר בטכניון. לנצ'נר עשה את הדבר האחראי ופנה ישירות למערך הסייבר כדי לדווח על המפגע (וכדאי להוסיף - ניתן לפנות במקרים הללו גם לרשות להגנת הפרטיות). זה פנה בתורו אל הג׳וינט והאתר ירד מהאוויר. שמואל פרסם את העניין בפרופיל הלינקדאין שלו והמשיך הלאה בחייו.

הפוסט שפרסם שמואל לנצ'נר בפרופיל הלינקדאין שלו
צילום מסך

זה יכול היה להיות סוף הסיפור: כשל טכני פשוט באתר רשלני שחושף את המידע של משתמשיו, ומתוקן משהוא מתגלה. אך ההמשך מראה את הסיכונים שלוקחים על עצמם מי שחושפים כשלי אבטחת המידע כאלו. מקץ מספר ימים צלצל מכשיר הטלפון האישי לנצ'נר. על הקו: שתי נשים בכירות מהג'וינט. הן שאלו אותו שאלות טכניות רבות, שאלו אותו אם השתמש בכלי פריצה (שאינו גוגל) כדי לגשת למסמכים שמצא באתר והפעילו עליו לחץ רב שיחתום על תצהיר בו הוא מתחייב לכך שלא שמר את החומרים שנחשף אליהם במסגרת ה"פריצה", וגם לא הפיץ אותם הלאה. 

לנצ'נר נכנס למתח - הוא אינו סוכן או חוקר משופשף וגם לא עיתונאי שמורגל במעמדים כאלה. אם היה "מודה" בשימוש בכלי שחורג מגוגל ייתכן שהייתה מוגשת נגדו תלונה פלילית. לו היה חותם על התצהיר, היה עלול להסתבך מאוד מבחינה חוקית. עורך הדין המומחה לדיני רשת יהונתן קלינגר אמר כי הוא "מעריך שהסיבה שרוצים תצהיר היא כיסוי לצד שלהם, כדי שאם מידע כן דלף ממקור אחר הם עשויים לטעון להגנתם ששמואל משקר כאן ויטילו עליו אחריות לפריצה״.

לנצ'נר סירב לחתום על התצהיר - חישבו רק מה היה קורה אם היה מתברר שגורמים זדוניים יותר מצאו גם הם את הדליפה וסחטו את מגישי המלגות? נזכיר כי הדרישה הדרקונית הגיעה, בסופו של דבר, מצד גוף שלנצ'נר סייע לו.

מטעם הג׳וינט נמסר: "אנחנו מייחסים חשיבות עליונה לנושא פרטיות ואבטחת מידע. דקות לאחר איתור התקלה, הוסרו האתר והגישה למסמכים  מהאוויר לאלתר, עד לסיום כל הבדיקות הנדרשות על מנת להבטיח עלייה מחדש של האתר ללא התקלה. הנושא דווח לרשות להגנת הפרטיות ואנו פועלים בכפוף להנחיותיה ובשיתוף פעולה מלא.

"חברה חיצונית נשכרה על מנת לבדוק את כל הלוגים שנעשו לאתר ולבחון את המקרה והיקפו, ונפעל בכפוף לבדיקתה והנחיות הרשות להגנת הפרטיות. לגבי שמואל לנצנר, נעשתה אליו פנייה טלפונית בבקשה כי ימחק את החומרים ולא יעשה בהם שימוש. כמו כן נשלחה אליו טיוטת תצהיר שכך אכן יפעל. נמסר לו מפורשות ובכתב כי הוא יכול לתקן את הנוסח ככל שהוא מוצא לנכון על מנת שירגיש בנוח עם הצהרתו זו, אולם מאז לא התקבלה תגובתו".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו