סגור
גג עמוד לכלכליסט טק דסקטופ

בלעדי
הדליפה הגדולה: כך נחשפו פרטים אישיים של חולים, תלמידים וקצינים

שילוב של נוהלי אבטחה לקויים וחיבה לשירות עריכת ושיתוף המסמכים גוגל דוקס, הובילו לדליפת המידע הרחבה והמסוכנת בישראל בשנים האחרונות. פניות של חושף הדליפה למערך הסייבר ולרשות להגנת הפרטיות נענו בתגובה: "הנושא בבחינה", והמידע נותר חשוף ברשת

א' היא ילדה "אגרסיבית עם אחיה ועם הסביבה שלה". בעלה של ב' חולה בסרטן. לג' יכולות לימוד "נמוכות מאוד", ד' שחזר בתשובה היה מעורב בפיתוח של מוצר ביטחוני רגיש, וה' שעלתה מברית המועצות חיה בזנות ומכורה לאופיאטים. כל המידע כאן אמיתי וזמין ברשת בגלישה פשוטה מהדפדפן. ולא רק זה, מצאנו גם רשימת חסויה של עתודאים בתוכנית טכנולוגיות יוקרתית של צה"ל, רשימת פונים לסיוע בהשתלת כליה, דף קשר של להט"בים בשירות המדינה, רשימת אלפי פעילים נגד גירוש עובדים זרים, משתתפים בניסוי פסיכולוגי של אוניברסיטה גדולה, ועוד מסמכים רבים מארגונים שונים עם פרטים אישיים מזהים ורגישים במיוחד של אלפים רבים של ישראלים.
כולם זמינים ברשת ונגישים בקלות, ונחשפו כתוצאה משילוב של נוהלי אבטחת מידע לקויים בארגונים, שאחסנו את המידע הרגיש בשירות עריכת המסמכים של גוגל בלי הגבלת גישה מספקת, והתפתחויות טכנולוגיות שמאפשרות לכל אדם לאתר אותם בלי צורך בידע טכני מעמיק. מדובר, אולי, בדליפת המידע הרחבה ביותר מבחינת כמות הגופים שמעורבים בה, והמסוכנת ביותר מבחינת עומק ורגישות הפרטים שנחשפו בו, שזוהתה בישראל בשנים האחרונות.

המסמכים עדיין זמינים

הדליפה הופכת למחדל של ממש כשמתברר שאף שהרשויות הרלוונטיות קיבלו על כך דיווח כבר לפני כחודשיים וחצי, שום מסמך מאלו שזוהו, פרט לאחד, לא הוסר מהרשת. "זה דבר נדיר", אמר ל"כלכליסט" חוקר אבטחת המידע העצמאי שזיהה את הדליפה, ושהסכים להיחשף רק בשמו הפרטי יהונתן. "גופים בחו"ל ששלחתי להם כמעט תמיד טיפלו והורידו בתוך יום יומיים".
רק אתמול, כשהחל יהונתן לפנות ישירות לארגונים השונים, מיהרו אלו וחסמו את הגישה למסמכים. ואולם, מדובר בעבודת נמלים מתישה שלא תספק פתרון מלא, בין השאר מכיוון שלא תמיד ברור מי הגורם שמאחורי המסמך.
4 צפייה בגלריה
יגאל אונא סייבר
יגאל אונא סייבר
ראש מערך הסייבר יגאל אונא. "העברנו התרעה לגופים הרלבנטיים"
(צילום: תומי הרפז)
הליך החשיפה של המסמכים נבע משילוב של אירועים, ומתחיל בהתנהלות בעייתית מבחינת אבטחת מידע של הארגונים שמאחוריהם. כל המסמכים המדוברים נוצרו בשירות שיתוף ועריכת המסמכים המקוון גוגל דוקס. כבר כאן, בפרט כאשר מדובר בגופים ביטחוניים כמו צה"ל, יש בעיה בעצם השימוש בשירות מסחרי פרטי ליצירת מסמכים שמכילים מידע רגיש. בנוסף, השירות מאפשר ליוצרי המסמכים לשתף אותם ברמות שונות של גישה.
הרמה המועדפת היא שהגישה למסמך מותרת רק למשתמשים שיוצר המסמך אישר מראש, באמצעות פרטי ההתחברות לגוגל. עם זאת, יוצרי המסמכים האמורים בחרו רמת אבטחה נמוכה יותר, שמאפשרת לכל מי שקיבל את הקישור למסמך לצפות בו, גם ללא הזדהות מול גוגל, פשוט באמצעות כניסה לקישור.
זה בפני עצמו בעייתי, שכן במקרה זה ליוצר המסמך אין שליטה למי מועבר הקישור ומי הגורמים שיכולים להיכנס באמצעותו למסמך. עם זאת, תמיד ניתן לבטל את הגישה הרחבה בדיעבד (מה שטרם נעשה במקרים אלו). בהמשך, מסביר יהונתן, רבים מקישורים אלו הוכנסו לשירותי קיצור קישורים דוגמת bit.ly, במטרה להקל על שיתופם. זאת, מכיוון שהקישורים המקוריים ארוכים במיוחד וכוללים עשרות של תווים אקראיים. גם מהלך זה בעייתי בפני עצמו, שכן מוכנס לתמונה עוד גורם חיצוני שמקבל גישה למסמך, אך לא זה היה הדבר שהוביל לחשיפתם.

הכל התחיל בקיצור הכתובת

לדברי יהונתן, מה שהוביל לבסוף לחשיפת המסמכים הוא פעולה תמימה של גורמים לא קשורים. "לפני עשור הייתה קבוצה של מתנדבים שהחליטה שמקצרי קישורים יוצרים בעיה מבחינת עמידות מידע", הוא הסביר. "אתה לא יכול להיות בטוח שהם לא ייעלמו מהנוף. זה שירות שקל להקים וקל לפרק, ואז כל הקישורים שהשתמשו באותו שירות שנעלם יהפכו לחסרי משמעות. לכן הם החליטו להקים מאגר גדול של קישורים מקוצרים והקישור המלא שהם מחוברים לו. לשם כך המתנדבים האלו סרקו בשיטתיות את מרחבי הכתובות של מקצרי הקישורים, שהם לא כל כך עצומים. לסרוק את כל המרחב האפשרי של קיצור בן 6 תווים כמו bit.ly זה לא בשמים עבור קבוצת מתנדבים. במילים אחרות, הקישורים נמצאים, אולי כבר כמה שנים, במאגר פתוח לציבור".
4 צפייה בגלריה
ראשת הרשות לאיסור הלבנת הון ומימון טרור שלומית ווגמן־רטנר
ראשת הרשות לאיסור הלבנת הון ומימון טרור שלומית ווגמן־רטנר
ראש הרשות לפרטיות, שלומית ווגמן. "נותנים מענה רוחבי"
(צילום: אוראל כהן)
חרף זאת, עדיין לא היה מדובר במאגר נגיש במיוחד, שכן חיפוש בו דרש מיומנויות טכניות. זה השתנה במרץ, כאשר האתר לחקר פרצות אבטחה בשם GrayhatWarfare השיק מנוע חיפוש, שמאפשר לכל אחד למצוא את המסמכים האלו. "יצא לי להיתקל בזה בסוף מאי ואמרתי 'וואלה בוא נחפש דברים'", סיפר יהונתן. "מה שעשיתי זה לחפש מסמכים, בעיקר בעברית, בארכיון הזה. הרצתי חיפוש במשך כמה שעות ומצאתי מדגם של מסמכים. המאגר עצום וכמובן כיסיתי רק חלק ממנו. יש דברים רגישים ואפילו רגישים מאוד, שמהווים בבירור הפרה של שמירת הפרטיות".

הערכות של תלמידים

יהונתן לא מגזים, אם כבר הוא מצניע את רגישות המידע שנחשף. כך, לדוגמה, עמותה רפואית (מכיוון שהמסמכים השונים עדיין זמינים ברשת, "כלכליסט" לא חושף את שמות הגופים כדי לא לסייע באיתורם) חשפה רשימה של יותר מ־50 איש שפנו אליה בבקשה לסייע להם בהליך תרומת או השתלת כליה. מסמך אחר שיצר פעיל במפלגה מהקואליציה, כולל רשימה של עשרות אנשים שהשיבו ל־SMS של המפלגה, לצד שמותיהם המלאים, מספרי טלפון, כתובות אימייל, סטטוס תמיכה ונכונות להתנדב.
כמה מסמכים חושפים פרטים מזהים ורגישים במיוחד על ילדים ונערים. שתי ישיבות תיכוניות חשפו גיליון הערכה של תלמידיהן, כולל את שמותיהם המלאים. וכך, למשל, יכולנו ללמוד שתלמיד אחד הוא "תלמיד יחסית חלש מרבה להיעדר", בעוד אחר "עטוף באהבה של הבית בצורה קיצונית. צריך להתייחס אליו בצורה רגילה ולא לתת לו לעשות עניין סביב הנושא הבריאותי", השלישי "יכולותיו נמוכות מאוד" ורביעי "הולך המון בלי כיפה. צריך חיבור".
מסמך של בית ספר יסודי חרדי, ובו שמות התלמידים המלאים, כולל בין השאר ציונים והערכות על התפילה שלהם ("מתפלל מכל הלב"), לצד ציונים או הערכות במקצועות השונים. מסמך דומה של תלמידי כיתה ז' בבית ספר חרדי כולל גם הוא הערכות של תפילת התלמידים ("מתקשה להיכנס, מרבה לצאת בטענה שלא מתחבר"), לצד הערכות על הפעילות בשיעורים ("לומד יפה, לפעמים יש לו יציאות לא מנומסות") והערכות כלליות ("סימן שאלה גדול! איבד כל רצון וההורים מסתלקים מכל התעסקות בזה").
מסמך אחר כולל סיכומים ממפגשים של תוכנית חניכה להורים לילדים צעירים, ובו מידע רגיש ופרטני במיוחד משיחות שנוהלו אתם, לצד שמות מלאים של ההורים ושמות הילדים. "עיקר השיחה נסובה סביב **** (7.5). ילד מאוד רגיש (גם עם ויסות חושי) ומרגיש תמיד ש'עושים לו' 'לוקחים לו' 'לא נותנים לו'", נכתב באחד מסיכומי השיחות. "*** (9) היא טיפוס מאד חזק, ולפעמים היא אגרסיבית עם **** ועם הסביבה שלה בכלל. דיברנו על היחסים עם האבא 'נעשו הרבה טעויות'. *** הוא טיפוס 'אולד פשן'. עשה עם **** תהליכים לא נכונים של ניתוק מ'שמיכי' עם הצורך שלו בגיל צעיר להיות כמו 'אלזה' ועוד".
יש מסמכים שחושפים פרטים רגישים על קשישים. קליניקה לסיוע לניצולי שואה חשפה מסמך ובו שמות מלאים ומספרי טלפון של המתקשרים, לצד סיבות הפניה שלהם. "***** ואחותה מעוניינת לחתום על ייפוי כוח מתמשך עם אמם בעניין אי הארכת חיים במקרה הצורך", תוארה אחת הפניות. מסמך אחר, שמקורו כנראה במרכז סיוע לקשישים, כולל מידע רגיש על הפונים, לצד פרטים מזהים כמו שם, גיל, כתובת מלאה וטלפון. כך, למשל, על פונה אחת נכתב במסמך: "זקוקים לסיוע במיצוי זכויות מול חברת חשמל, (קיבלו מכתב מהם וזקוקים לסיוע) כמו כן, בעלה חולה סרטן ורוצים למצות זכויות בנושא זה". על אחר נכתב: "חובות כבדים לתאגיד המים, חשמל ועוד... לדבריו בנו הותיר לו את החובות האלו".

מידע ביטחוני ותעסוקתי

גם מידע ביטחוני נחשף במסמכים אלו. למשל, רשימת המשתתפים בתוכנית עתודה יוקרתית של צה"ל בתחום הטכנולוגיה. המסמך אמנם כולל רק שמות פרטיים, אך לצדם יש כתובות אימייל ומספרי טלפון. רשימה אחרת כוללת קצינים עם שמות מלאים, מספר אישי, סוג ומספר הרכב שלהם ותפקידם (מג"ד, קמב"ץ וכו'). מסמך נוסף מקבץ כמה רשימות נוכחים ונעדרים משיחות פלוגתיות ותדרוכים שונים, ובהן שמות מלאים ומספרים אישיים של החיילים.
מכון להכוון תעסוקתי חשף שמות מלאים ומספרי טלפון של הפונים, לצד תיאור הפונה שחושף פרטים אישיים ואפילו ביטחוניים רגישים. למשל: "בן **. גר ב******. אב ל*. חוזר בתשובה. בעל תעודה אקדמית תואר ראשון בהנדסת מכונות בטכניון. תואר שני בהבטחת איכות. שש שנים בצבא בקבע. היה מעורב בפיתוח ***** (מוצר ביטחוני רגיש במיוחד, ע"כ). לאחר שהשתחרר חזר בתשובה. למד בישיבות כ־15 שנה. מלמד כיום בישיבת ******. מעונין למצוא עבודה בהבטחת איכות או בהנדסת מכונות. בחור ממוקד". מסמך זה כולל פרטים של יותר מ־1,200 איש.
ארגון של הקהילה הלהטב"קית חשף את רשימת ההסעה שלו למצעד הגאווה בירושלים ב־2018, עם שמות מלאים, מספרי טלפון ומספר זהות של קרוב ל־60 איש — ובכך הסגיר למעשה את הנטייה המינית של רובם. מסמך של משרד ממשלתי חשף את רשימת העובדים המלאה שלו (כ־30 איש) באחת החטיבות בצפון הארץ, עם שמות מלאים, מספר זהות, תאריכי לידה, כתובות ומספרי טלפון.
מסעדה מוכרת וסניף של רשת בתי קפה גדולה חשפו מסמכים של הזמנות לקוחות, בכל אחד מהם מאות רשומות עם שם הלקוח, מספר טלפון, סכום ההזמנה, אמצעי התשלום (מזומן/אשראי) ועוד. ארגון שמייצג רופאים פרסם רשימה של קרוב ל־800 חברים, ובה השמות המלאים, מספרי זהות, טלפון, אימייל, בית החולים שבו הם עובדים.
פרטיהם של כ־30 משתתפים בניסוי, כנראה פסיכולוגי, שנערך באחת האוניברסיטאות בישראל, הופיעו במסמך שכלל את שמותיהם המלאים, מספרי הטלפון וכתובות האימייל שלהם. ארגון נוסף חשף את רשימה של יותר מ־500 איש ליום האזרחיות והאזרחים בכנסת, כולל שמות מלאים, אימייל, טלפון, תפקיד ומקום עבודה. קרן שמחלקת מענקים לאמנים חשפה רשימה של כמאה מבקשי מענקים ובה שמות מלאים, קישורים לתיק עבודות, פרטים על היצירות, תחום פעילות ועוד.
מסמך אחר טוען להיות דף קשר של חברי הקהילה הלהט"בית שמועסקים במגזר הציבורי, ובו פרטים מזהים של 16 איש, כולל שמות, טלפונים, אימיילים ותפקיד במשרד שבו הם מועסקים. פעילים נגד "הגירוש" (כנראה גירוש עובדים זרים)? יכול להיות שהשם, הטלפון והאימייל שלכם מופיעים ברשימה של יותר מ־3,000 פעילים שדלפה גם היא. עמותה שנויה במחלוקת, שהואשמה בכך שהיא למעשה כת, חשפה שלושה מסמכים שונים, ובהם רשימות שונות של חברים, עם פרטים מזהים מלאים, ורשימת פרטי התחברות לשירותים שונים ולאתרים שהיא מפעילה.
4 צפייה בגלריה
אינפו  הנחשפים
אינפו  הנחשפים
אינפו הנחשפים
מסמכים בעיתיים נוספים דלפו מאגפי טיפול במכורים של לפחות 20 ערים ורשויות מרכזיות בישראל, בהן גם כמה מהערים הגדולות ביותר. הם כוללים פרטים אישיים רגישים במיוחד של מטופלים ובהם נטייה מינית, מצב משפחתי, מספר ילדים, מגזר, דת, ארץ מוצא, רמת השכלה, מצב תעסוקתי, מצב רישום פלילי, האם המטופל חווה פגיעה מינית, האם הוא סובל מהפרעה נפשית או מנכות, האם הוא בזנות או דר רחוב, סוג החומרים שאליהם הוא מכור ועוד. חלק מהמסמכים הללו כוללים מידע על עשרות רבות ואף מאות של מטופלים. בכמה מהמסמכים מופיע מספר תעודת הזהות של המטופלים — שאותו אפשר בקלות להצמיד לשם המלא הודות לדליפות התכופות של פנקס הבוחרים.
מסמכים אחרים אמנם לא כוללים פרטים מזהים ישירות, כמו שם או מספר זהות. אבל הם כן כוללים פרטים כמו תאריך לידה מלא, עיר מגורים ומגדר. הצלבת פרטים אלו עם מאגרי מידע אחרים שדלפו לאורך השנים — דוגמת מאגר מרשם רשות האוכלוסין — או מאגרי מידע שמחזיקים ארגונים שונים (כמו מועדוני לקוחות) תאפשר לגורם שמעוניין בכך לזהות את המטופלים רמת ודאות גבוהה מאוד — וכך לחשוף את כל הפרטים הרגישים ביותר עליהם.

אוזלת היד של הרשויות

יהונתן פנה כבר לפני יותר מחודשיים וחצי עם המידע המלא בנושא לרשות להגנת הפרטיות בראשות שלומית ויגמן ולמערך הסייבר הלאומי, שבראשו עומד יגאל אונא. ואולם, לדבריו, התגובות שקיבל היו לא מספקות, ולא הובילו להסרה של המסמכים הרגישים. במערך, הסייבר, לדבריו, אם טרחו להגיב היו אלו תגובות לקוניות דוגמת "תודה רבה על שיתוף המידע, הנושא בבחינה", בלי פניית מעקב או בקשה לפרטים נוספים. "מערך הסייבר פשוט גרועים וגם התגובות שלהם הן לקוניות ולעולם לא מנסות להבין עוד, כמו של בוטים חסרי בינה", הוא אמר. התגובה של רשות הפרטיות היתה יותר חיובית. "היה נראה שהם מתעניינים, מבינים עניין, מעמיקים אפילו. אבל כלום לא קרה, פשוט כלום. שום דבר לא הוסר".
מרשות הפרטיות נמסר: "המידע שהעביר הפונה הוא חלק מתופעה רוחבית יותר, של מסמכים בעלי קישורים לא מוגנים, בהם עושים ארגונים שימוש. תופעה זו מטופלת בימים אלה על ידי הרשות במספר כלים וערוצים לרבות באמצעות הליך פיקוח ובשיתוף גורמים נוספים מהמגזר הציבורי והפרטי וקמפיין הסברתי מתוכנן, על מנת לתת לתופעה מענה רוחבי".
ממערך הסייבר נמסר בתגובה: "הבעיה נוגעת להגדרות פרטיות של 'גוגל דוקס' שמחברי המסמכים צריכים להיות מודעים אליהם טרם העלאת הקבצים. הנושא דווח על ידינו לרשות להגנת הפרטיות ובמקביל העברנו התרעה לגופים הרלוונטיים עם המלצות".
ההתנערות של מערך הסייבר אירונית במיוחד לאור העבודה שאחד המסמכים (שנכון לאתמול עדיין היה באוויר) כולל תשובות של בכירים בשירות המדינה, בהם גם במערך הסייבר, שמזוהים בשמם המלא ובתפקידם, לשאלון על תרגיל ניהולי שביצעו.
וכך, למשל, למדנו שאחד הבכירים במערך סבור שהוא הצליח ב"בניית קואליציה מובילה", אך כשל ב"יצירת תחושת הדחיפות", ועל יתרונות הסגנון הניהולי שלו כתב "הקשבה מקדמת שינוי - גורמת להעלאת רעיונות חדשים ושיתוף". אולי היה כדאי שיקשיב לפנייה שקיבל המערך בנושא, ויקדם שינוי של הסרת המסמכים הבעיתיים מהרשת.