מי הדליף לרשת מידע ספק-חסוי על עובדי משרד הבטחון? משרד הבטחון, באמצעות עובד שלא יודע איך עובד אקסל
אתמול בבוקר פתח גיא זומר את האינבוקס שלו וראה שם אימייל מהסוג שאף אחד לא אוהב לקבל. יהב ממערך הסייבר ביקש ממנו "שגורם אבטחת מידע או מנהל האתר בארגונכם ייצור אתנו קשר בהקדם". "מיד מעדכן את מי שצריך לעדכן ומצלצל לשמוע מה הקטסטרופה. לזכותם ענו מהר והיו אדיבים", עדכן זומר בטוויטר. "מספרים שיש קובץ שדלף עם שמות, תעודות זהות ולוחיות רישוי ממאגרים שאני קשור אליהם".
הקובץ שדלף הוא מסמך אקסל בן כ-300 רשומות שמכיל מידע על עובדי משרד הבטחון, ובו שם מלא, ת"ז ומספר רכב. מצא אותו ההאקר הידידותי שמואל לנצ'נר (זה שהסתבך לאחרונה עם הג'וינט, כפי שסיפרנו בסייברסייבר ע05פ06). בין העובדים שפרטיהם דלפו נמנים "דוברת משרד הבטחון לשעבר, ראש החטיבה להתיישבות לשעבר, סגן שר הבטחון לשעבר, ראש יחידת דרוזים, צ'רקסים ותיאום פעילויות משולבות, ראש חטיבת ניהול פרויקטים מרכז באגף ההנדסה והבינוי, וזה רק רשימה חלקית…", דיווח לנצנ'ר בקבוצת הסייבר DC9723. "כל מה שהיה צריך לעשות, להכנס לאתר odata.org.il לחפש 'דוחות תנועה של עובדי משרד הבטחון'".
האתר שלנצ'נר חדר אליו באמצעות כלי הפריצה המשוכלל דפדפן נקרא "מידע לעם.", וזומר הוא מנהלו ואחד ממייסדיו, יחד עם עמותת הצלחה, התנועה לחופש המידע ושקוף. בשיחה עם סייברסייבר הגדיר זומר את האתר כ"פלטפורמה שנועדה להנגיש את המידע הציבורי שנאסף אצלנו כארגונים ופעילים בתחום המידענות הציבורית". קובץ האקסל מכיל ריכוז עבירות תנועה וחנייה של עובדי משרד הביטחון בשנים 2016-2017. מלבד השם, הת"ז ומספר הרכב של עובדי משהב"ט, המסמך מציג נתונים נוספים, ובהם תאריך העבירה, תאריך הדוח, זהות הרשות המוניציפלית שבתחומה התבצעה העבירה וסכום הקנס.
איך דלף המידע? היועמ"ש של הצלחה, עו"ד אלעד מן, הגיש למשרד הבטחון בקשת חופש מידע בנושא. משרד הבטחון אסף את הנתונים, החליט להשמיט חלק מהמידע – שם ות"ז הנהג, מספר הרכב, מספר העבירה, תאריך קבלת הדוח וסוג עבירה (שמופיע בטעות בשתי עמודות זהות במסמך, אבל רק אחת הושמטה) – ושלח את הקובץ, שבהתאם למדיניות "מידע לעם" הועלה בדיוק כפי שהתקבל, ללא כל עריכה. שלוש וחצי שנים עברו עד שלנצ'נר מצא את המסמך עם המידע המוכמן ודיווח עליו למערך הסייבר, שדיווח עליו לזומר, שבדק את הקובץ ואיתר את המדליף: נציג משרד הבטחון.
מתברר שנציג המשרד פתח את האקסל, סימן את העמודות של המידע המוכמן, לחץ על פונקציית Hide – הסתר, ראה שהעמודות נעלמו ושלח את הקובץ. מה שהוא לא ידע זה שהמידע רק הוסתר ויזואלית, אבל לא נמחק מהמסמך, ואפשר למצוא אותו על ידי פעולת ההאקינג המתוחכמת של סימון העמודות ולחיצה על פונקציית Unhide. מנועי חיפוש אפילו לא צריכים לעשות את זה – מרגע שהקובץ עלה לווב, המידע זמין להם לקריאה ולאינדוקס.
"לעובדי משרד הביטחון באמת יש אורינטציה דיגיטלית שלא מבישה צנון גינה", עקץ זומר בתגובה בלינקדאין של לנצ'נר. "הם לא היחידים בממשלת ישראל שרואים בפונקציה הזאת באקסל כטכניקה מקובלת לחסות מידע. יש לזה גם אח קטן של מרקר שחור כדי לחסות מידע בטקסטים, וזה שכיח הרבה יותר" (למשל, היועמ"ש לממשלה מסתיר מידע באמצעות פס דיגיטלי שחור שניתן להסרה, ומשטרת ישראל הסתירה מידע ליטרלי במרקר שחור, אבל לא שחור מספיק).
פנינו למשרד הבטחון וביקשנו לדעת מדוע הסתיר את המידע במקום למחוק אותו, ומה הסיבה להסתרת המידע – פרטיות, בטחון העובדים או בטחון המדינה. ממשרד הבטחון לא נמסר דבר.
זומר, משפטן בהכשרתו ומייסד עמותת התמנון להנגשת מידע, לא חושב שיש עילה להסתרת המידע. "אין ספק שעולה כי המשרד עשה שימוש בפרקטיקה בעייתית מאד של הסתרת עמודות בגיליון נתונים באקסל", כתב בתשובתו למערך הסייבר, "אלא שלא ברור שהמשרד ביקש למנוע את חשיפת המידע ואף אם ביקש, כי קיימת מניעה משפטית מפרסום או מסירת המידע". הוא חסם את הגישה הציבורית לקובץ מיד עם פניית המערך, והודיע שיחזיר אותו לאוויר בסוף החודש. עם זאת, "על מנת לאפשר שיח מקצועי וענייני, ככל שאתם או מי מהגורמים המוסמכים סבורים שיש מניעה, אנו נמתין עם הפרסום עד למיצוי השיח".
עידו קינן עושה דברים באינטרנט ומגיש-שותף של הפודקאסט הפופולרי סייברסייבר