לקראת הבחירות: דלפה רשימת כתובות מייל של מזכירי קלפיות

מייל שהופץ חשף 250 כתובות דואר אלקטרוני של מזכירי קלפיות, שבימים אלה ועדת הבחירות מגייסת אותם ● אמיר כרמי מ-ESET ישראל, שחשפה את הפרצה: "מדובר במחדל אבטחתי ברור; ניתן לצפות שגורמים ממשלתיים ורשויות מקומיות יקפידו על אבטחת מידע בסיסית"

צילום אילוסטרציה: BigStock

דלפה רשימת כתובות מייל של מזכירי קלפיות בחירות הנמצאים בתהליכי גיוס, לקראת הבחירות החוזרות לכנסת – כך מסרה חברת אבטחת המידע ESET, שגילתה את הדליפה.

ועדת הבחירות בתל אביב פנתה בימים האחרונים למזכירים שעבדו בעבר בקלפיות, במטרה לגייס אותם למערכת הבחירות הקרובה, שתתקיים ב-17 בספטמבר. הוועדה פנתה למזכירים הוותיקים, שנטלו חלק בבחירות האחרונות, והזמינה אותם לקצר את תהליך הגיוס – ולהירשם ישירות לראיון מקוצר לתפקיד.

המייל נשלח באופן פומבי, לכ-250 מזכירים, כשכולם חשופים לכתובות המזכירים הנוספים שהיו נמענים אליו. המזכירים הללו טרם גויסו ו-ועדת הבחירות פנתה אליהם באופן יזום. אחד החששות הוא שאם אחד ממזכירי הבחירות שאליהם מוענה הפנייה עדיין לא החליט אם לעבוד בקלפי ביום הבחירות – גורם בעל אינטרסים עלול לפנות אליו ולשכנע אותו לעבוד, ותמורת שוחד, למשל, להטות את התוצאות לטובתו. לא ברור אם ועדות נוספות מערים אחרות בארץ פנו גם הן למזכירים פוטנציאליים מאותו האופן, או לא.

תפקידו של מזכיר קלפי הוא להיות אחראי על ההתנהלות התקינה בקלפי במהלך כל יום הבחירות: החל מארגון הקלפי, עבור בזיהוי המצביעים ומתן מעטפות ההצבעה, ועד לשלב הסופי של ספירת הקולות עצמם והגעה בסוף היום לוועדת הבחירות המרכזית, עם הקלפיות והתוצאות.

"החשש: השפעה על תוצאות הבחירות או סחיטה"

מ-ESET ישראל נמסר כי "ישנן כמה דרכי פעולה אפשריות לניצול לרעה של מאגר כתובות דוא"ל שכזה. האחת, השפעה על התנהלות הבחירות ותוצאותיהן. זאת, באמצעות יצירת קשר עם מזכיר קלפי ומתן הצעה מפתה לשיתוף פעולה עם גורם אחר, זיוף הצבעות, זיהוי לא נכון של בוחרים והשפעה על ספירת הקולות. השנייה, סחיטה: יצירת קשר עם המזכירים העתידיים וסחיטה שלהם – אם על ידי גורם בישראל או ממשלות של מדינות זרות. השלישית, דליית פרטים רגישים ואפשרות לנזק: מסירת הרשימה לגורם עוין, שעלול לשלוח פישינג למזכיר האופציונלי. אז ייאסף מידע אישי ממכשירו של המזכיר והוא יהיה נתון לסחיטה. המיילים שמסתובבים הם של מזכירים ששירתו בתפקיד בעבר ופונים אליהם באופן ממוקד – כדי שישובו לתפקיד. כך, כל אחד מהם יכול לקבל את התפקיד אם רק יהיה מעוניין בכך".

אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל. צילום: מושיק ברין

אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל. צילום: מושיק ברין

אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל, אמר כי "מדובר במחדל אבטחת מידע באופן ברור. ניתן לצפות שגורמים ממשלתיים ורשויות מקומיות יקפידו על אבטחת מידע בסיסית. במקרה זה, חשוב היה לשלוח את המייל בעותק מוסתר, כשהנמענים אינם יכולים לראות למי נשלח המייל בנוסף אליהם".

כרמי הוסיף כי "קיים סיכון שרשימה זו תגיע לצד שלישי, שינסה להפיק ממנה תועלות אישיות. דליפת הרשימה הזו למפלגות בישראל, או לממשלים זרים, שרוצים להשפיע על הבחירות – היא מסוכנת. הרעים עלולים לנסות לשלוח פישינג למזכירים וכך לדלות מידע פנימי על הבחירות, שיועבר דרך המייל של המזכירים – או אפילו לנסות לפרוץ לחשבונות נוספים ולגנוב מידע משם שעלול לשמש עבור סחיטה".

מוועדת הבחירות המרכזית נמסר בתגובה כי "ראשית, יצוין שככלל, כל ההתקשרות עם המועמדים למזכירי ועדות הקלפי נעשית באמצעות מערכת ממוחשבת, אשר שומרת על פרטיותם של המשתמשים. שנית, הנחיות אבטחת המידע של הוועדה קובעות כי כל תקשורת בתפוצה רחבה, שאינה באמצעות המערכת המאובטחת, תיעשה בהעתק סמוי (BCC), על מנת שלא ייחשפו כתובות הדוא"ל של הנמענים. יחד עם זאת, במקרה דנן, אכן, נוכח טעות אנוש, פנו ל-250 מועמדים פוטנציאליים שלא באמצעות העתק סמוי, ולכן, ל-250 מועמדים אלוה(מתוך עשרות אלפי מועמדים) נחשפו כתובות הדוא"ל (בלבד, וללא שם או פרטים אחרים) של המועמדים הפוטנציאליים האחרים. יצוין כי המועמדים למזכירי ועדות קלפי מונחים לקבל הודעות מנציגים רשמיים של ועדת הבחירות בלבד, ואין לקבל מידע הנוגע לבחירות מגורמים שאינם רשמיים. לאור טעות האנוש, חודדו ההנחיות".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. שי כרמל

    כל השבוע פורסם באתר של ועדת הבחירות שהיום משעה 12 ניתן להירשם להיות מזכיר כלפי מהבוקר האתר חסום ולא ניתן כל מידע מדוע אי אפשר להיכנס אליו

אירועים קרובים