חברת צ'קפוינט פרסמה היום (רביעי) דוח הסוקר את האפליקציות של המפלגות השונות המתמודדות בבחירות הכלליות לכנסת ה-21. מטרת הבדיקה הייתה לבדוק אילו שירותים הן מציעות לציבור ובעיקר איזה מידע הן אוספות עלינו וכיצד הן נוהגות בו. "להפתעתנו רק שלוש מפלגות מציעות אפליקציות לקהל הבוחרים - הליכוד, העבודה ומפלגת ישר. תוצאות הבדיקה מצביעות על פרצות אבטחה חמורות ושימוש במידע אישי ורגיש במיוחד", הסבירו בחברה, "כמו כן, ישנה אפליקציה נושאת את שם מפלגת כחול לבן אולם לא נבחנה מכיוון שאיננה אפליקציה רשמית המנוהלת על ידי המפלגה". עוד נמסר כי הממצאים נמסרו למפלגות השונות ולגורמים ממשלתיים רלוונטיים לפני מועד פרסום זה.

לליכוד קיימת אפליקציה רשמית לסלולר הן בגרסת אנדרואיד והן בגרסת iOS למשתמשי האייפון. היא קיימת מזה כשנה, והעדכון האחרון בוצע לפני כחצי שנה. האפליקציה פותחה על ידי חברת בוזונט ונועדה בעיקר לחיזוק הקשר של המשתמש עם המפלגה, תוך שהיא מספקת מידע אקטואלי על המפלגה ונציגיה, ופעילותם ברשתות החברתיות. באפליקציה קיימת גם אפשרות (ככל הנראה לא ממומשת) לביצוע סקרים.

הרישום לאפליקציה מתבצע על ידי הזנת מספר תעודת זהות וטלפון נייד. בשלב זה המשתמש מקבל מסרון ובו מצויינת סיסמה באורך ארבע ספרות השתמש אותו לכניסה לאפליקציה מעתה ואילך. מדובר בסיסמה קלה ופשוטה ובכך חושפת את המשתמשים לתקיפות כוחניות. בתקיפה מסוג זה, מזין התוקף את כל האפשרויות הקיימות לסיסמה ולכן יש חשיבות למורכבות ואורך הסיסמה. במקרה זה, ישנם עשרת אלפים צירופים שונים. מדובר במשימה שמחשב סטנדרטי פותר במספר דקות. לפיכך, אם ידוע לתוקף מספר הטלפון של חבר ליכוד כלשהו, בפשטות ניתן להתחבר במקומו לאפליקציה ולקבל את כל פרטיו האישיים ולפעול בתוכה בשמו. בתיאום עם הליכוד, ולשם המחשה בלבד, נעשתה בדיקה על בכיר במנגנון התנועה שממנה עלה כי ניתן להגיע לפרטי כל מתפקד ליכוד בתוך דקות ספורות.

האפליקציה מאפשרת למעשה חיבור ישיר למאגר המידע של הליכוד, מאפשרת באמצעות מספר תעודת זהות לבדוק האם אדם הוא חבר ליכוד ועבור חברי הליכוד נותנת גישה מלאה לכל הפרטים של כל חברי המפלגה, שמות, טלפונים, כתובות אימייל, כתובות מגורים ותפקידיהם בליכוד. האפליקציה מסתמכת על שני שרתים לצורך אחסנת המידע והפונקציות השונות שבה. כמו כן, התקשורת עם שרתי אפליקציית הליכוד מתבצעת בפרוטוקול שאינו מאובטח, כך שהפרטים הרגישים שמוזנים על ידי כל משתמש הכוללים מספרי תעודות זהות ופרטי כרטיס אשראי חשופים לעיני צדדים שלישיים. גם הכניסה לעמוד ממנו מוצגת אפשרות כניסה לניהול האפליקציה מתבצעת בפרוטוקול לא מאובטח.

נציין כי מפלגת הליכוד טיפלה בפרצת האבטחה במהירות והייתה קשובה לממצאים. 


תגובת הליכוד לפרסום דו״ח חברת צ׳ק פוינט: "קיבלנו את פניית צ׳ק פוינט, טיפלנו בפירצה מייד - מידע אישי לא דלף ושום נזק לא נגרם".

אפליקציית העבודה

אפליקציית העבודה לבחירות 2019 פותחה על ידי בית התוכנה Runloop והיא זמינה ב Google Play  ועבור מכשירי iOS (אייפון) החל מתחילת השנה. האפליקציה מאפשרת למשתמש, בנוסף לאפשרות להתעדכן בחדשות ובאירועים האחרונים, גם להשפיע.
 
החלק המרכזי של האפליקציה מאפשר למשתמש לסווג את אנשי הקשר שלו לקטגוריות לפי מידת התמיכה של איש הקשר במפלגת העבודה ומידת הפתיחות שלו לשינוי עמדה. האפליקציה מבטיחה כי כל זאת נעשה על מנת לאפשר למשתמש לשלוח הודעות טקסט מוכנות מראש למכריו. באופן כזה מאפשרת האפליקציה למשתמש ליצור קשר ישיר עם מכריו כדי לשכנעם לתמוך בעבודה. 
 
האפליקציה מתחייבת כי הגישה לרשימת אנשי הקשר מתבצעת על מנת "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך... תוכן השיחות לא ינוטר ו/או ישמר על ידי המפלגה". 
 
ממצאים:
1. האפליקציה מחלצת את רשימת אנשי הקשר של המשתמשים ללא ידיעתם ומעלה אותה לשרת חיצוני.
2. נראה כי האפליקציה ממפה את הקשרים החברתיים של המשתמשים על בסיס ניתוח שמות אנשי הקשר, וזאת על מנת למפות את טיב הקשר בין המשתמש לבין אנשי הקשר שלו, ובכך לאתר ככל הנראה מצביעים פוטנציאלים. ניתוח זה נעשה ללא ידיעת המשתמש.
 
בנוסף לכך, באפליקצייה קיימת פונקציונליות של סיווג מידת הקשר של המשתמש עם איש הקשר הרלוונטי, כנראה מתוך כוונה ליצור רשימה של אנשי קשר קרובים אליו במיוחד שתישמר במאגר הנתונים של המפלגה.