הלמו זכאי: על בלוגר, ספאמר והמאגר הביומטרי
בפסק דין מרתק, חשוב ובעיקר משעשע, הכניס כבוד שופט בית המשפט השלום בירושלים, ד"ר אברהם טננבוים לפתנאון הפסיקה הישראלית פסק דין אודות אחת הפרשות הקפקאיות שידע משפט האינטרנט בישראל.
סיפור שהיה כך היה; משה הלוי, הידוע בכינויו "הלמו", מוכר בשל היותו בלוגר ותיק, דמות אינטרנט וכוכב של פרשיות מגוונות, אשר חלקן התגלגל לכדי חקירות משטרה, ודיונים בין כתלי בתי המשפט.
הלמו הסתכסך עם עופר שדות. בין השניים התעורר 
סכסוך שכלל שלל תכתובות, תגובות והאשמות הדדיות על פגיעה זה בזה בדרכים יצירתיות, בהן הפלת הבלוג של הלמו בתפוז, איומים, "הזמנת פיצות" אנונימיות וכו’.
יום בהיר אחד התאפסו חובותיו של שדות למדינה שנאמדו בגובה 7 מיליון ש"ח. מבדיקה שנערכה, התעורר חשד מיידי כי דובר בפריצה, אך שדות, שהיה כמובן החשוד המיידי, הסביר לחוקרי המשטרה כי אין לו יד בדבר וכי ראוי שיחקרו את הלמו.
בחקירתו של הלמו, הודה הלמו כי שילם באמצעות כרטיס אשראי ששולם מראש (Pre paid card) סכום של 4 שקלים לאחר ששינה את כתובת ה-URL כך שתתאים לתעודת הזהות של שדות, קישור שנמסר לו, לדבריו, על ידי שדות עצמו. הלמו הסביר זאת משום שרצה להפריך את טענותיו של שדות שאין הוא חייב כסף למדינה ולכן ביקש שתשלח אליו חשבונית על סך 4 שקלים שתאשר את עצם קיומו של החוב.
בשלב זה נחשפה עובדה מדהימה. בדיון בבית המשפט הוכיח הלמו כי במהלך אותה תקופה כל תשלום למרכז לגביית קנסות מחק את החוב כולו ללא קשר לגובה החוב. לדוגמה: אם היה אדם חייב 2,000 ש"ח בשל דו"חות תנועה, היה יכול הוא לסלוק 3 שקלים בכרטיס האשראי והמערכת הייתה מנכה את החוב כולו כאילו שולם. שגיאה זו הובילה בענייננו למחיקת חובותיו של שדות בסך 7 מיליון שקלים.
בפסק הדין מצטט השופט טננבוים את מומחי המחשבים שהובאו בתיק על עדויותם המזועזעות מהקלות שבה ניתן היה להערים על המערכת, ולהכנס לתדפיסי החיוב של כל אדם במדינת ישראל על ידי שינוי קל של כתובת ה-URL. בסופו של דבר, בית המשפט זיכה לחלוטין את הלמו מכל העבירות שהואשם בהם, וביקר ביקורת חריפה את המשטרה, שלה, כך ידוע, חשבון הולך ומתמשך מול הלמו.
ומה הקשר למאגר הביומטרי? המרכז לגביית קנסות אגרות והוצאות הוא המוקד המרכזי והיחידי של כל החובות שנאכפים על ידי המדינה. חובות בגין עבירות תנועה, קנסות פליליים, מנהליים, וכל תחום למעשה שמייצר חוב שאותו אוכפת המדינה. לשם המחשה, חובות בגובה מאות אלפי שקלים משולמים במרכז מידי יום, כך לפי העדויות שפורטו בפסק הדין.
נכון לשנת 2008, הגישה למידע אודות חובותיהם של כל אזרחי המדינה והיכולת לאפס את החובות הללו לא הייתה נחלתם של המחוננים בכישורי אבטחת מידע יוצאת דופן, אלא על ידי שינוי קל של תעודת הזהות בכתובת ה-URL ותשלום של שני שקלים. כל בר דעת, לא רק מומחים לאבטחת מידע, יתחלחלו ממחדל שכזה שלא התרחש בימים הראשונים של האינטרנט בישראל, אלא במוקד הסליקה המקוון הגדול ביותר בישראל, מוקד שהעביר מאות אלפי שקלים מידי יום. המידע במאגר הזה היה חשוף לכל אחד שהיה חמוש בתעודת הזהות של מי שרצה לברר אודותיו. בלי סיפורים סקסיים על עובדי מדינה מושחתים ובלי האקרים ואמצעי ריגול. סתם רשלנות.
אם לא היה מתרחש צירוף המקרים הנדיר הזה, שהוליד את הסיפור הקפקאי שתואר בפסק הדין, מסופקני אם לא הייתה מתפתחת בישראל (או שהתפתחה כבר) תעשיית "מחיקת חובות" ואיסוף מודיעין על חייבים. מאגרי משרד הפנים עברו כמטבע עובר לסוחר בין חוקרים פרטיים ושאר בעלי אינטרסים לפני שהפכו לנחלת הכלל באינטרנט. מידע ממאגרים פליליים, מאגרי המיסים וכל מאגר שניתן לדמיין זולג, בין אם בשל כשלי אבטחת מידע, או עובדי ציבור מושחתים. איננו יודעים על המאגרים הביטחוניים שזלגו, אם זלגו וכנראה שלא נדע לעולם על מה שלא נתפס ו/או לא פורסם. פסק הדין המשעשע הזה, שאמנם לא עוסק בנושא במישרין מוסיף לתובנה שאסור שתרד מסדר היום – גם המאגר הביומטרי ידלוף.
אפי פוקס, עורך דין. עוסק במשפט, טכנולוגיה, אינטרנט ומה שבינהם. אפשר לעקוב אחריו גם
03.12.2009 בשעה 12:05
פוסט יפה, ופסק הדין אכן מרתק (וקריא להפליא! מומלץ).
אבל בואו ונהיה הוגנים – החובות אמנם “התאפסו”, אך לא באמת (כפי שכתוב בפירוש בפסק הדין) – כפי שחוסר התאימות הזה התגלה, כך מן הסתם גם כל שאר תשלומי החסר מתגלים – מסופקתני אם המדינה תוותר על כספיה כל כך בקלות.
עם זאת, אכן הקמת האתר הרשלנית והמגוחכת משהו (שדה תצוגה בר עריכה…) אכן מעלה ספקות לגבי היכולת של גוף ממשלתי להקים אתר מאובטח כראוי. כפי שכבר נאמר על החלליות של נאסא, המבצע הוא תמיד זה שנתן את ההצעה הנמוכה ביותר.
03.12.2009 בשעה 13:11
המחדלים אפילו לא תוקנו
http://knasot1.court.gov.il//Magic94Scripts/MGrqispi94.dll?Appname=collect&Prgname=endSession&Arguments=-N581507
תזיז אחורה וקדימה את מספר התשלום
Arguments=-N581507
אפשר לראות מי שילם את חובותיו
03.12.2009 בשעה 19:41
אפי, לא ברור לי למה אתה משווה בין המקרה הזה לבין המאגר הביומטרי. הרי ח”כ שטרית הבטיח שהמאגר הביומטרי יהיה מאובטח ושום דבר לא ידלוף ממנו. לעומת זאת ח”כ שטרית מעולם לא הבטיח שהאתר של המרכז לגביית קנסות יהיה מאובטח ושום דבר לא ידלוף ממנו. לאור זה ברור ששני המקרים אינם דומים וההשוואה אינה תקפה.
ובלי שום קשר לנושא: ח”כ שטרית, אם במקרה אתה מחפש דובר, אני מחפש עבודה. אתה יודע איך למצוא אותי (פרטים במרשם התושבים).
04.12.2009 בשעה 15:48
[...] פוקס כתב השבוע על פסק הדין של הבלוגר משה הלוי, הידוע גם בכינויו "הלמו&quo…, במסגרת המשפט שהתנהל נגדו בגין פריצה ושיבוש חומרי [...]
04.12.2009 בשעה 19:36
איזה בזיון המדינה הזו. כל רשויות המדינה הן בזיון פתטי שמעליב את האינטליגנציה. וכל הכבוד לח”כ שטרית שמוביל את האגנדה ומציב קו איכות לפאשיזם בעת המודרנית.
04.12.2009 בשעה 21:38
בואו נעשה סדר.
כשמרדי ממשלה רוצים מערכות מאובטחות ברמה גבוהה אין להם שום בעיה לעשות זאת, תסתכלו בתור דוגמה על עוצמת הביקורת וההקפדה במקרה של חוק נתוני אשראי, התנאים ודרכי האבטחה והבדיקה של ההגנה על המערכות הנ”ל.
זה שמישהו עשה טעות חובבנית בגלל ה URL, זה כבר פשלה אחרת שמחייבת בדיקה וביקורת.
ומכאן ולקשר את לדליפת המאגר הביומטרי המרחק הוא כמרחק מזרח ממערב, או כמו לטעון שעוד שעה בוודאות הלמו יהיה זה שילחץ על הכפתור לשיגור הטילים שישמידו את הכורים באיראן.
05.12.2009 בשעה 3:29
פוסט משובח, נושא משובח, מסקנה משובחת.
08.12.2009 בשעה 3:07
[...] המאגר הביומטרי… הרבה כבר כתבו על זה, ולמה זה רע, ואיך זה הולך לפגוע בנו בדיוק כמו הצעה 892, אבל כמו שאמר אחד הטוקבקיסטים בכתבה [...]
09.12.2009 בשעה 13:00
המרכז לגביית קנסות לא מחק חובות.
הם הבינו שמשהו לא בסדר כשבמקום אחד שולמו 4 שקלים ובמקום שני נרשם ששולמו 7 מליון שקלים.