Zdroj: Calcalist, Ran-Bar-Zik (Twitter)
Ešte minulý týždeň premiér Izraela Benjamin Netanyahu rozprával na predvolebnom mítingu, že jeho strana Likud musí vyhrať voľby. Jeho riešenie bola aplikácia Elector. Práve kvôli nepochopiteľnej chybe v aplikácii, však došlo k asi najväčšiemu úniku osobných dát v histórii Izraela.
Podľa informácii novinára Ran-Bar-Zika unikli osobné informácie 6.453.254 Izraelčanov. Okrem toho sa v aplikácii nachádzali údaje o tisícoch občanov podporujúcich stranu Likud, ktoré zhromaždili v posledných mesiacoch aktivisti používajúci aplikáciu Elector na mobile.
Izrael sa bohužiaľ zaradil medzi krajiny ako India alebo Ekvádor, ktorým sa prihodilo niečo podobné. Naposledy sme na našom incident blogu písali práve o Ekvádore, kde unikli osobné aj citlivé finančné údaje o 17 miliónoch občanov Ekvádoru.
Celý únik je veľmi nebezpečný aj z dôvodu geopolitického postavenia Izraela. Krajina má dostatok nepriateľov, pre ktorých by kompletné osobné údaje občanov s volebným právom boli veľmi užitočné. Ich únik by mohol ohroziť ich osobnú bezpečnosť.
Ak sa čudujete ako je možné, že strana mala osobné údaje voličov, tak podľa novinára Ran-Bar-Zika majú politické strany legálne prístup k celému registru voličov. Aktivisti už v minulosti upozorňovali na to, že je otázkou času, kedy údaje uniknú.
Ako teda došlo k úniku? Stačilo ísť na web stránku Elector a v zdrojovom kóde stránky nájsť link SERVER_URL+“/get-admin-users?“. Po vložení linku do nového okna sa vám zobrazili mená a heslá adminov v čitateľnej podobe (nepochopiteľné). Prihlásili ste sa do web stránky ako admin a mali ste prístup k osobným údajom 6.453.254 Izraelčanov. To je všetko.
Osobné údaje obsahovali ID číslo, plné meno, plnú adresu, meno otca, ID voliča a ďalšie informácie. Údaje boli aktuálne, novinár Ran-Bar-Zik medzi údajmi našiel seba a aj svoju novú adresu, ktorú nahlásil na ministerstvo vnútra pred troma týždňami.
V databáze boli aj telefónne čísla, pretože aplikácia na mobile, ktorá komunikovala s web servermi, umožňovala zasielanie SMS správ. V prípade potreby sa dala cez aplikáciu poslať zákerná SMS správa všetkým aktivistom aj s linkom na falošnú aktualizáciu aplikácie.
Je zrejmé, že aplikácia neprešla žiadnym bezpečnostným testom. Chyba bola oznámená strane Likud v piatok 7.2.2020, ktorá ju len preposlala firme za aplikáciou Elector. Podľa všetkého bola chyba dnes ráno 9.2.2020 ešte stále neopravená. V tejto chvíli by už malo byť všetko v poriadku.
Obrázok: „President Trump Meets with Israeli Prime Minister Benjamin Netanyahu“ by The White House, used under Public Domain
