הליכוד, אלקטור תוכנה וגורמי המדינה הגישו אתמול (ראשון) לבג"ץ את תגובותיהם לעתירה שהגישו עורכי הדין יצחק אבירם ושחר בן מאיר הנוגעת לשימוש באפליקציית אלקטור על ידי הליכוד, לאחר שנחשפו בתקשורת מחדלי אבטחה באפליקציה. המגיבים מבקשים לדחות את העתירה על הסף, למרות שחקירת רשות הפרטיות נמצאת בעיצומה ונמצאו בה ראיות לכאורה להפרות חוק.

האפליקציה המשמשת את מטה הבחירות של מפלגת הליכוד אפשרה לכאורה גישה מלאה לכל המידע שאגר הליכוד אודות מצביעים. המידע כלל את כלל המידע בספר הבוחרים, בצירוף מידע שנרכש ממאגרי מידע מסחריים כמו מספרי הטלפון של חלק מהבוחרים ומידע שהזינו אנשי הליכוד ותומכיו המפלגה, לגבי נטיית בוחרים ספציפיים לבחור בליכוד בבחירות הקרובות.

על פי העתירה, לא רק שבאפליקציה התגלו מחדלי אבטחה, אלא שגם נוהלי ההרשמה אליה היו מקלים, ואפשרו לכל אדם שהשיג סיסמא  (שהופצה ברבים) גישה למידע. העתירה הוגשה לאחר שעתירה דומה נדחתה ע"י יו"ר ועדת הבחירות, השופט העליון ניל הנדל, בטענה כי איננו מוסמך לדון בה במסגרת תפקידו.

הבעיות טופלו, ההתערבות בהמשך

לפי עמדת הרשות להגנת הפרטיות הליקויים שהתגלו אכן חמורים – אך הם תוקנו ואין צורך בהתערבותה המידית. "נכון למועד כתיבת שורות אלו" נכתב בתגובה, "אמצעי האבטחה של המערכת שופרו, ולא נמצאו, בבדיקות נוספות שבוצעו על ידי הרשות בסיוע מומחי אבטחה ממערך הסייבר הלאומי, ליקויים חמורים או אינדיקציות אחרות המבססים צורך להשבית שוב את המערכת".

עם זאת מציינים ברשות כי "אין באמור כדי לגרוע מהממצאים החמורים, הפרות החוק והתקנות, לכאורה, העולים מהאירועים שקדמו לתיקון הליקויים" וכי עם גיבוש הממצאים הסופיים הרשות תפעל בעניין בהתאם לסמכויותיה על פי דין. מעבר לנושא מחדלי האבטחה, ציינה הרשות בתגובתה כי יתכן שהאפליקציה פוגעת בתקנות הפרטיות גם ללא קשר לדליפה.

שניות בודדות, או שעות ארוכות?

בעלי אלקטור לא מכחישים שבאפליקציה התגלו בעיות אבטחה. בתגובה לעתירה טענו כי מזה שבועיים עוברת החברה "הליך פיקוח מקיף, יסודי, חודרני עמוק ורציף על ידי הרשות להגנת הפרטיות במשרד המשפטים". לטענתם, פרצת האבטחה שנתגלתה בשבת ה-8.2 נסתמה תוך "שניות ספורות", זאת במהלך השבת.

בניגוד לטענת החברה, ציין אתמול מומחה המחשבים רן בר זיק שזיהה את הפרצה, כי "היא הייתה באוויר לפחות 26 שעות לאחר הדיווח הראשוני ולבטח התקיימה לפני הדיווח הראשוני", וכי היא המשיכה לחשוף מידע רגיש עד יום שני. לדבריו "הטענה לפיה 'הפרצה נסתמה' היא במקרה הטוב בורות, ובמקרה הסביר יותר – חוסר הבנה משווע בתהליכי פיתוח ובאבטחה", וכי המערכת נותרה פגיעה גם לאחר תיקון הליקויים כביכול.

בנוסף, טענה אלקטור בתגובתה לבג"ץ כי מפרצת האבטחה הראשונה אין הוכחה לדליפת מידע, וכי לא הייתה כלל פרצה שנייה, טענה הנתמכת לכאורה בדו"ח של חברת אמזון, המאחסנת את המידע בעבור האפליקציה. בר זיק סבור שטענה זו רחוקה מאוד מהאמת, וכהוכחה מציג חומר שדלף רק דרכה ולא דרך הפרצה הראשונה שהוא מבנה מסד הנתונים של האפליקציה. "עם כל הכבוד לדו״חות ולביקורות – יש לי את המידע הזה וגם לאחרים והיה אפשר להשיג אותו בקלות רבה", סיכם בר זיק, תוך שהוא מציין שכלל כניסותיו לאפליקציה לבחינת הפרצות נעשו מחו"ל, אף שניתן היה לחסום אופן שימוש זה בקלות ומראש, פעולה שנחסמה לפני לא יותר משבוע.

העתירה עצמה מייחסת מחדלים נוספים, שלא נובעים מאבטחה כושלת של חברת אלקטור תוכנה, אלא כתוצאה מאופן השימוש באפליקציה על ידי הליכוד. בליכוד הכחישו כי לאתר הבחירות לליכוד יש ממשק עם אפליקציית אלקטור, אך לא הסבירו מה נעשה במידע המוקלד באתר זה, המזמין את הגולשים לא רק להירשם בעצמם כתומכי ליכוד, אלא גם להקליד פרטים של תומכים אחרים, מבלי לקבל הסכמה. חולשת אבטחה נוספת זיהתה ד"ר ענת בן דוד, , מומחית בעלת תואר דוקטור למדע טכנולוגיה וחברה,  בכך שמספר אנשים במקביל יכולים להשתמש באפליקציה בו זמנית תחת אותו מספר טלפון וסיסמה. עיון בנתוני ההורדה של האפליקציה בחנויות האפליקציות של גוגל ואפל, חושף לטענתה כי האפליקציה הורדה גם ביפן, מולדובה, ארה"ב ורוסיה. היקף הנתונים שנחשפו, לטענתה, גורם ל"סכנה ממשית לביטחונם ופרטיותם של אזרחי המדינה בכלל, וגורמים בכירים בפרט".

הליכוד: השימוש תואם את הדין הקיים

בתגובת הליכוד לעתירה מתבקש בג"ץ לדחות את העתירה על הסף בגין "היעדר עילה, שיהוי וחוסר תום לב". הליכוד נסמך על עמדת יו"ר ועדת הבחירות, השופט העליון ניל הנדל, לפיה אין לו סמכות לדון בעתירה הקודמת שהגישו העותרים באותו נושא, שחורגת מנושאי תעמולת הבחירות, שלגביהם הוא רשאי להתערב. לגוף העתירה טען הליכוד כי "בעיות אבטחה אינן מובילות בהכרח לפגיעה בפרטיות". המדינה טענה  כי טענות לפגיעה בפרטיות לא יכולות להתברר בבג"ץ, משום שהן בגדר "עוולה אזרחית" ולא עתירה כנגד החלטת גורמי המדינה.

מסיבת עיתונאים של הליכוד, 1 באפריל 2019 (צילום: הדס פרוש/פלאש90)

עוד טענו בליכוד, כי השימוש באפליקציה תואם את הדין הקיים, ולא שונה עקרונית משימושן של מפלגות אחרות באפליקציות דומות, לרבות אלקטור עצמה. בניגוד לעתירה, לה צורף תצהיר המדגים כיצד כל משתמש, אפילו מתחזה, יכול לאתר כל בוחר לפי מספר תעודת הזהות שלו, טענו באלקטור תוכנה כי הרשאה בסיסית לשימוש באפליקציה מאפשרת גישה למידע מצומצם בלבד, כאשר רק למנהל מטה הבחירות יש אפשרות להפיק בעזרתה דו"חות בתצורת קובצי אקסל בחיתוכים לפי בחירתו. חיתוכים סטטיסטיים מסויימים אפשריים לטענת החברה, רק למנהלי ערים במטה הבחירות ורק בעיר אותה הם מנהלים. עוד טענה החברה כי הגישה למספרי תעודות זהות של בוחרים באשר הם הוגבלה למנהל מטה הבחירות בלבד כבר לפני שבועיים וחצי.

האם הצלבת ספר הבוחרים עם מאגרים אחרים יוצרת מאגר שונה ?

באשר לבקשה לאפשר לאזרחים להימחק ממאגר המידע המפלגתי, טענו בליכוד כי ספר הבוחרים הוא מאגר של משרד הפנים, אשר מושאל למפלגות לצורך הבחירות לכנסת והן מחוייבות למחוק את המידע לאחר קביעת התוצאות הסופיות של הבחירות. לכן, טוענים בליכוד, בקשה להימחק מספר הבוחרים צריכה להיות מופנה למשרד הפנים ולא אליהם.

לפי העתירה, המידע שמצרף הליכוד למאגר במספר שיטות, כגון: רכש מאגרי מספרי טלפון מגורמים מסחריים ומידע שמזינים פעילי המפלגה יוצר בפועל מאגר מידע חדש שאינו חוקי, אשר מחייב דיווח נפרד לרשויות המדינה על קיומו ובנוסף, מקנה לרשומים בו את הזכות להימחק ממנו. מתגובות הרשות להגנת הפרטיות לפניית התובעים וכן מתגובתם לעתירה משתמע כי הרשות אינה מזהה את מאגר המידע של הליכוד כמאגר מידע חדש ונפרד.