Izraelska vladajoča stranka objavila podatke vseh volivcev v državi

Dare Hriberšek

11. feb 2020 ob 17:31:59

Spletna aplikacija, ki jo uporablja izraelska vladajoča stranka Likud, je tri tedne pred parlametnarnimi volitvami v državi po malomarnosti razkrila osebne podatke vseh 6,5 milijona izraelskih volilnih upravičencev. Aplikacijo Elektor je razvilo podjetje Feed-b, stranka pa ga je uporabljala za predvolilno obveščanje volivcev. V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam in so obenem zadolžene za njihovo varovanje, po volitvah pa so jih dolžne izbrisati.

Kot rečeno je Feed-b podatke naložil v svojo aplikacijo, problem pa je tičal v povsem nezaščiteni kodi za API klic na končno točko; če je uporabnik prišel na spletno stran aplikacije in izbral opcijo "ogled vira strani", so se mu med sicer javno izvorno kodo pokazala tudi administratorska uporabniška imena in gesla. Če jih je nato vnesel, je dobil poln dostop do registra volivcev, ki si ga je lahko po želji tudi prenesel. Spletna stran ob tem ni uporabljala dvostopenjske avtentikacije, ki bi dostop prav tako zavarovala.

Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.

Luknjo je po naključju odkril Ran Bar-Zik, sicer zaposlen kot programer pri Verizon Media, ki je po lastnih besedah zavpil "jackpot", ko so se podatki znašli pred njegovimi očmi.

Čeprav je Feed-b stran takoj ugasnil in odpravil napako, pa ni jasno ali se je v vmesnem času, preden so varnostno luknjo odkrili, kdo podatkov polastil. Podatki o izraelskih politikih, vojaških in drugih pomembnežih bi zagotovo razveselili prenekatere državno podprte hekerske skupine na Bližnjem vzhodu. Podoben incident je je v Izraelu že primeril leta 2006, ko je register celotnega prebivalstva ukradel zaposleni na notranjem ministrstvu in ga nato objavil na spletu.