והמדליף הזה הוא אני
מי לא מסר פעם מספר טלפון או סיסמה כשנרשם לאתרי אינטרנט או לאפליקציות? תופתעו לגלות לאן המידע הזה מגיע ולמה הוא עלול לשמש • על הסכנה בשאלוני הפרטים ברשת, ואיך ניתן להיזהר
קרה לכם שהתקשרתם לאדם בפעם הראשונה, והוא כבר ידע את שמכם? או שקיבלתם פרסומת לשירות כלשהו רגע אחרי שביקרתם באתר הרלוונטי? בעולם הטכנולוגי של ימינו מידע אישי על כולנו, ברמות שונות של פירוט, "מסתובב" ברשת ללא ידיעתנו. נכון, זה לא תמיד בא מאיתנו — יש לא מעט מקרים שבהם המידע זולג החוצה בלי שנוכל למנוע זאת או להגביל את שיתופו. ראו את ההודאה של ענקית האינטרנט יאהו, אחת החברות המוכרות והחזקות בתחום, שגם היא לא הצליחה לאבטח כראוי 500 מיליון חשבונות, שחלק מפרטיהם נגנבו על ידי פורצים.
אבל לא אחת החוליה החלשה בשרשרת האבטחה היא דווקא אנחנו, שמתקינים בטעות תוכנה זדונית על המחשב, או מותירים גישה לחשבון שלנו על מחשב זר. לא חסרים מקרים שבהם אנחנו אלה שמסבכים לעצמנו את החיים במו ידינו, מבלי להבין בכלל איפה טעינו. הנה כמה דוגמאות בולטות.
שיחה מזוהה: הדור הבא
בשנים האחרונות הפכו אפליקציות שיחה מזוהה לפופולריות בקרב משתמשי הסמארטפונים. זה נראה כמו קסם: אתם מורידים אפליקציה, ופתאום, כל מספר שמחייג אליכם מופיע לצד שם המתקשר או הארגון. במקרים רבים, האפליקציות האלה גם מאפשרות לדעת אם מדובר בשיחת ספאם פרסומית כזו או אחרת. אפליקציות כמו Contacts+, TrueCaller ו־Contactive הן הבולטות בתחום.
אבל האם חשבתם פעם מאיפה יש למפתחים את היכולת הזו, לשלב בין מספר לבין שם? התשובה פשוטה: הם מחזיקים במספרי הטלפונים שקיבלו מכם ומחבריכם. מאחורי האפליקציות האלה מסתתרים מאגרי מידע עצומים, כי בזמן ההתקנה הן פשוט כללו מסך טקסטואלי המבקש מהמשתמשים באדיבות רשות להעלות את ספר הטלפונים הפנימי בסמארטפון שלהם לשרתי החברה. במקרים כאלה, רובנו, כמובן, מאשרים מסכים כאלה בלי לקרוא — או לחשוב פעמיים.
למרבה הצער, לרוב מדובר במהלך שפשוט אי־אפשר להתגונן מפניו. רוצים שמספר הטלפון שלכם לא יזוהה באפליקציות הללו? עליכם לפנות ישירות לחברות העומדות מאחוריהן ולבקש להסיר אותו — למרות שמעולם לא טרחתם להעלות אותו למאגר שלהן.
אפשר לטעון, שמדובר בצעד ראשון לעבר עתיד שבו מספר סלולרי לא יהיה באמת רלוונטי, ולכולם יהיה את כולם בספר הטלפונים. לגיטימי גם לטעון, שהערך של האפליקציות האלה גדול יותר מאי־הנוחות הכרוכה בהן. אבל בכל זאת, מדובר במקרה קלאסי של שימוש במידע שאותו מעולם לא נתתם, ולשיתופו כנראה בכלל לא הייתם מודעים.
מפיצריה עד יאהו
להבדיל משירותי שיחה מזוהה, שנחשבים לפחות מסוכנים, מאגרי מידע המכילים פרטים אישיים יכולים לדלוף גם בדרך פלילית, ולא רק לאחר גניבה פיזית של המכשיר, כמו במקרה של השדרנית שרון פרי. למעשה, זה קורה כמעט כל יום. חישבו על כל האתרים שלהם נתתם אי־פעם פרטי משתמש וסיסמה — מה אתם יודעים על נהלי האבטחה שלהם? מאתר של פיצריה קטנה, עד אתריה של ענקית אינטרנט כמו יאהו — מדי יום אנחנו שומעים על דליפות פרטים אישים ברשת.
ואם במקרה של חברות שיחה מזוהה יש לפחות כתובת, שאליה אפשר לפנות כדי שיסירו את המספר שלכם, כשמדובר בדליפה פלילית אין מה לעשות. זו, אגב, הטענה העיקרית של מתנגדי המאגר הביומטרי הישראלי (שנמצא בימים אלה בניסוי) — אם הכל דולף, גם הוא ידלוף. ואם סיסמה אפשר לשנות, את הפרטים הביומטריים שלכם תתקשו להחליף במקרה כזה.
דוגמה? במקביל לכתיבת שורות אלה נכנסתי לאתר של חברה המאפשרת להזמין שירות מסוים. בטופס ההזמנה של השירות אני מתבקש להכניס מספר טלפון. מיד עם ההקלדה — מאחר שלא מדובר בפעם הראשונה שבה ביצעתי הזמנה — שאר הפרטים מולאו בצורה אוטומטית. מדובר, בעצם, בתכנון לקוי, שמאפשר לגלות את הכתובת שלכם לפי מספר הטלפון. ומאחר שזהו שירות פופולרי, אכן לא התקשינו למצוא בו כתובות של אחרים.
הדוגמה הזו מצערת, אבל ברור שכוונת המפתחים הייתה טובה. מאחורי רוב הדליפות עומדים אינטרסים מסחריים — החשבונות הפרטיים שלנו ופרטי הגישה למחשבים שלנו שווים כיום הרבה יותר כסף מבעבר, כי אפשר לעשות איתם הרבה יותר. חשבון מייל פרוץ יכול לשמש לשליחת ספאם, מחשב פרוץ יכול להיות חלק מרשת תקיפה בלי ידיעת המשתמש. ככל שהערך של המידע האישי עולה, כך גם מתגברים הניסיונות של ארגוני פשיעה "קלאסיים" להגיע אליו.
חגיגה למפרסמים
זה לא סוד שחברות כמו פייסבוק וגוגל לומדות עלינו כמה שיותר כדי להתאים לנו פרסומות טובות יותר. אבל לא רק אנחנו מספקים להן מידע, אלא גם אתרים ושירותים אחרים. אחד הדברים שפלטפורמות פרסום עשירות במידע כמו פייסבוק וגוגל מאפשרות למפרסמים שלהן הוא להעלות רשימת לקוחות לפלטפורמת הפרסום, ואז לפנות אל הלקוחות שברשימות האלה, או לאנשים דומים.
וכך, כל אתר עם מסד נתונים ובו כתובות מייל של הלקוחות שלו (שהסכימו לכל העניין, כי שוב, הרי מי מאיתנו קורא את תנאי השימוש) יכול להעלות אותו לפלטפורמות פרסום. הפלטפורמות הללו בודקות אם המייל מופיע גם אצלן, ואם כן — הן מסמנות את המשתמש כלקוח של החברה. כך המפרסם יכול בעצם להחליט שהוא מפרסם לבסיס הלקוחות שלו, או מבקש מהמערכת למצוא אנשים עם תחביבים/נתונים דומים.
בכל התהליך הזה כתובת המייל שלנו משמשת כדי ליצור התאמה בין המפרסם לבין התיק עב הכרס שנצבר עלינו ועל הרגלינו האישיים בפלטפורמה, כי באינטרנט, המייל הוא אחד המזהים הקבועים ביותר שלנו. נרשמים לאתר מכירות או לרשת חברתית? רוב האנשים משתמשים בכתובת מייל פרטית אחת, מה שהופך אותה לשלוחה של זהותם.
מדאיג? ה"תיק" שהמפרסמים מחזיקים עליכם חייב להיות אנונימי, נטול כל מידע מזהה אישית (שם, כתובת, וכו'), כי אחרת יתייחסו אל בסיס הנתונים המכיל אותו כאל מאגרי מידע אישי, שנתונים לפיקוח גופי רגולציה ברחבי העולם עקב הרגישות הגדולה שבעניין.
חייכו למצלמה
הדוגמה האחרונה איננה של מידע הזולג מאחורי הגב שלכם, אלא של מידע שתתקשו להאמין כי תוכלו בכלל לקבל. מדובר בתצלומים שלכם מכל הפעמים בהן צולמתם בכניסה לארה"ב. אם ביקרתם בארץ האפשרויות הבלתי מוגבלות בעשור האחרון, הרי שכחלק מביקורת הגבולות התבקשתם להצטלם. תהיתם לאן התמונות האלה הולכות? התשובה: לתיקכם האישי, המצוי בידי ביקורת הגבולות האמריקאית, כמובן.
בשנה שעברה פירסמה חוקרת אבטחת מידע בשם רונה סנדביק 33 תמונות של הפנים שלה — רובן ככולן מעמדות ביקורת הגבולות בכניסה לארה"ב. ולא, היא לא נעזרה במדליפים ממשלתיים כדי להשיג את התמונות האלה, אלא פשוט הגישה בקשה לביקורת הגבולות.
מתברר כי חוק חופש המידע האמריקאי מאפשר לכל אדם לבקש מידע השמור עליו אצל רשויות החוק. רוצים שה־FBI ישלח לכם את התיק שיש לו עליכם? כל שאתם צריכים זה לבקש, ואם הבקשה תאושר תקבלו את המסמכים, בניכוי חומרים שהוגדרו ככאלה שאינם ברי פרסום.
רוצים מידע מה־CIA? תוכלו לבקש אותו גם מהם. את תמונות המפגשים שלכם עם שוטרי הגירה תוכלו לקבל באמצעות הגשת טופס מקוון ל־CBP – הסוכנות האחראית על אבטחת גבולות של ארצות־הברית.
כך תבדקו אם הפרטים שלכם דלפו
רוצים לדעת האם גנבו לכם את פרטי החשבון באחת הדליפות? האתר Have I Been Pwned, בכתובת haveibeenpwned.com יגיד לכם לא רק האם הפרטים שלכם דלפו, אלא גם באיזה סוג דליפה.
כך, למשל, כתובת המייל המופיעה בתחתית כתבה זו דלפה לא פחות מ־11 פעמים, לפעמים יחד עם סיסמה שנשמרה בצורה לא מאובטחת. בכל פעם שמתגלה פירצה חדשה, המידע באתר מתעדכן.
האתר הזה אומנם הוכיח את עצמו כאמין מאוד לאורך השנים, אבל איך מוודאים שאתר כלשהו בטוח, או שהוא עתיד להדליף את הסיסמה שלכם? בעקרון צריך לחשוד בכל אתר שמבקש מכם להכניס כתובת מייל — אולי הוא רוצה אותה כדי לשלוח לכם ספאם.
רוצים להגיש לממשל האמריקאי שאילתות על־פי חוק חופש המידע? לכל סוכנות יש הליך משלה המאפשר לבצע זאת. שלושת השירותים שהזכרנו — סוכנות הבילוש, משמר הגבול וסוכנות הביון — מחזיקים דפי אינטרנט המאפשרים להגיש את הבקשה בצורה אלקטרונית.
FBI – bit.ly/fbifoia
CIA – bit.ly/ciafoia
CBP – bit.ly/cbpfoia
denis@vitchevsky.net
לפנייה לכתב/ת 
