ברקע אזהרות ראש השב"כ על חשש מהתערבות מדינה זרה בבחירות 2019 והעניין הציבורי הגובר בבוטים, טרולים, ומניפולציות בנתונים שעלולים להשפיע על הזירה הפוליטית, לוואלה! NEWS נודע כי בשבועות האחרונים הרשות להגנת הפרטיות החלה בבדיקה של אפליקציית המוניות החדשה "יאנגו" שהחלה לפעול בישראל - עם קשרים הדוקים לקרמלין.
האפליקציה, שנועדה להתחרות בגט ורקסי המקומיות, הושקה בחודש שעבר במהלך שיווקי אגרסיבי, ופועלת כרגע בגוש דן ומספר ערים נוספות ברחבי הארץ. "יאנגו" מציעה הנחות ומבצעים מפתים לנוסעים ולנהגים החדשים שמשתמשים באפליקציה, אך גם דורשת מהם הרבה יותר הרשאות - המאפשרות גישה למידע רב בטלפון הנייד שבו היא מותקנת.
יאנגו, שהיא מותג בת של אפליקציית המוניות של "יאנדקס", ענקית האינטרנט הרוסית המוכרת כ"גוגל הרוסית", הושקה בתחילת החודש שעבר, ומנתונים שפירסמה החברה השבוע עולה כי עד כה הורידו אותה כ-150 אלף משתמשים ונרשמו אליה כ-3,000 נהגי מוניות.
עוד בוואלה! NEWS:
שיבוש הצבעה וזיוף חשבונות: ישראל ערוכה לאיום סייבר בבחירות?
האחראי למתקפת הסייבר בגרמניה: צעיר שגר עם הוריו וכעס על פוליטיקאים
מתקפת סייבר נרחבת נגד מרקל ופוליטיקאים ברחבי גרמניה
מיד לאחר ההשקה פורסמו בערוץ 10 מספר פרסומים שחשפו את מדיניות ההרשאות הנדיבה והחריגה של החברה ביחס לאפליקציות המקבילות שלה בשוק הישראלי - שמאפשרת גישה למידע רב בטלפון - למיקרופון, למצלמה, לאנשי הקשר, הודעות סמס, שטח האחסון של הטלפון, ומאפשרת להוסיף ולזהות חשבונות משתמשים באותו מכשיר וגישה לרשתות הסלולר.
ביאנגו אומרים שלכל הרשאה יש הגיון וסיבה, וכי אין שום חובה לאשר לאפליקציה שימוש בכל ההרשאות, אבל מדיניות ההרשאות החריגה היא שעוררה בקיץ האחרון את רשויות הביטחון והגנת הסייבר בליטא, מדינה בלטית שחשה היטב את זרוע שכנתם הרוסית.
באוגוסט פורסמה אזהרה רשמית של מטה הסייבר הלאומי בליטא, בה הזהירו תושבים ופקידי ממשל לא להשתמש באפליקציה עד להודעה חדשה והתריעו כי יש חשש המידע שנאסף בה יועבר לידי גורמי שלטון רוסים.
ליטא, שחולקת גבול עם רוסיה, נחשבת לאחת המדינות "הפרנואידיות" ומהראשונות בעולם שהעלו את החשש מפרופגנדה ומניפולציות רוסיות, אך בשנתיים האחרונות רוסיה הואשמה בהתערבות במערכות בחירות במקומות שונים בעולם - בהן ארצות הברית, גרמניה, צרפת ובריטניה - דרך אמצעים מקוונים ולוחמת סייבר, מניפולציה של מידע ברשתות החברתיות, שיבושים ופריצה למערכות מחשב.
סיבות לא ברורות להרשאות הפולשניות של האפליקציה
ח"כ רויטל סויד (העבודה) פנתה בחודש שעבר לראש מערך הסייבר הלאומי, יגאל אונא, ולראש הרשות להגנת הפרטיות, אלון בכר, וביקשה לקבל הבהרות הנוגעות להשקת "יאנגו" בישראל לאור הפרסומים והחשדות הליטאיים הרשמיים. "עקב העובדה כי מדובר באפליקציה אשר מטרתה הזמנת מוניות לא ברורה הסיבה להרשאות הפולשניות יחסית להן נדרשים המשתמשים להסכים בכדי להשתמש באפליקציה.
לפיכך מתחזק החשש כי מפתחי האפליקציה מנצלים אותה לשימוש נוסף מלבד שירות הזמנת מוניות", כתבה סויד, העומדת בראש השדולה "למרחב הווירטואלי והרשתות החברתיות" בכנסת במכתבים ששיגרה לשתי הרשויות, בהם העלתה שורה של סימני שאלה בנוגע לאבטחת המידע של המשתמשים והיכולת למנוע שימוש בנתונים על ידי גורמים זרים.
"לא ניתן להתעלם מהפרסומים האחרונים אודות שימוש לרעה בטכנולוגיה בידי גורמים זרים כדי לאסוף מידע ולהשפיע בצורה בלתי הוגנת על הנעשה במדינות שונות בעולם", הוסיפה. בין השאלות שסויד מעלה - האם נבחנו השלכות השימוש באפליקציה בישראל והאם יש כוונה לעדכן את הציבור בסיכונים הטמונים במתן הרשאות כה נרחבות לבעליה.
המכתבים שוגרו על ידי סויד בסוף דצמבר, וטרם התקבלה עליהם תשובה, אך לוואלה! NEWS נודע כי ברשות להגנת הפרטיות אכן בוחנים את האפליקציה, כחלק מבדיקת רוחב של סוגיית ההרשאות החריגות.
יאנדקס היא אמנם חברה פרטית שמרגישה מאוד את היותה חברת טכנולוגיה א-פוליטית אך היא נחשבת למקורבת מאוד לקרמלין. אמנם, ב2014 נשיא רוסיה, ולדימיר פוטין, טען שגופי מודיעין זרים שולטים בחברה, אך בכירים בדירקטוריון החברה מקורבים מאוד לנשיא פוטין ולקרמלין.
אחד מחברי הדירקטוריון בחברה הוא אלכסנדר וולושין, ששימש בעבר ראש הסגל של פוטין בקרמלין, ושניים מבכיריה - הנשיא ארקדי וולוז ומנכל "סברבנק", הבנק הממשלתי הגדול ברוסיה, הרמן גרף - נכללו ברשימת 100 האוליגרכים המקורבים לשלטון הרוסי שמשרד האוצר האמריקאי פירסם בשנה שעברה.
חלק גדול משרתי החברה, שאוספים את המידע של המשתמשים - ממוקמים בתוך רוסיה וכפופים לחקיקה הרוסית המחמירה שהוחלה ב2016 המחייבת את חברות האינטרנט והטלקומוניקציה לאחסון את המידע שהן אוספות ולהעבירו לידי גורמי השלטון לפי דרישה, אפילו בלי צו של בית משפט.
ביאנגו אומרים, לעומת זאת, כי המידע שנאסף באפליקציה נשמר בשרת עצמאי שממוקם בפינלנד, שנתון לפיקוח וחוקים נוקשים בסטנדרט של האיחוד האירופי, לרבות הגבלות על פרטיות, וכי לטענות ולשמועות על מידע שעובר דרך רוסיה אין כל ביסוס טכני, חוקי או משפטי.
יאנדקס, לצד שירותים נוספים שמושקים בישראל או אפליקציות שזמינות להורדה ומעניקות שירותים בעלי ערך כלפי המשתמשים הישראלים, אינן נבדקות על ידי גורם מוסמך כמו הרשות הלאומית לסייבר. בהעדר רגולציה ופיקוח, לא מן הנמנע שנמצא עצמנו בכאוס גדול או נהנים משירותים שבסופו של דבר עוקבים אחרינו ושומרים מידע בעל ערך. על אחת כמה וכמה בתקופת בחירות, כשהרשת מלאה בבוטים שמזייפים תגובות ומציפים פייק ניוז.
גלו זהירות, מחקו אפליקציות
האזהרה של ממשלת ליטא על השירות הרוסי מאותתת לציבור הישראלי שיאנדקס דורשת הרשאות לתכונות שכלל לא משתמשת בהם, כמו לדוגמה המיקרופון. גם על המשתמש לגלות זהירות ואחריות ואחת לכמה זמן למחוק אפליקציות ושירותים שאינו משתמש בהם ועשויים לאסוף עליו מידע.
ברשות להגנת הפרטיות סירבו לאשר את קיום הבדיקה, בטענה שהרשות אינה מאשרת קיומן של בדיקות ו/או חקירות המתבצעות על ידה, "ואין בכך כדי לאשר או להכחיש כל פרט מפרטי הפניה הספציפית". בתגובת הרשות נמסר עם זאת כי "בשימוש בכל אפליקציה חשוב לבדוק את הגדרות מדיניות הפרטיות כך שיהיו בזיקה לשירות שניתן. יש להימנע מלהשתמש באפליקציות אשר דורשות הרשאות או שימושים שאינם בעלי זיקה לשירות".
עוד ציינו כי "שימוש במידע אישי מבלי שנתקבלה הסכמה של האדם עליו נאסף המידע ומבלי שפורטו לאילו שימושים ניתנה נהסכמה זו מהווה הפרה של חוק הגנת הפרטיות".
יאנגו: "פועלים לפי חוקי העברת המידע של האיחוד האירופי"
מחברת יאנגו נמסר בתגובה כי "חברת האם שמנהלת את שירותי האפליקציה של יאנדקס מחוץ לרוסיה, היא חברת יאנדקס טקסי, חברה הולנדית הממוקמת בהולנד אשר פועלת בכפוף לכללי וחוקי הרגולציה של האיחוד האירופי לרבות חוקי העברת המידע והדאטה (GDPR) המחמירים של האיחוד". עוד נמסר כי יאנדקס טקסי שייכת לקבוצת יאנדקס שמנוהלת על ידי Yandex NV, תאגיד הממוקם גם הוא בהולנד, שנסחרת בנאסד"ק ולכן יש לה בעלי מניות מכל העולם.
בעניין ההרשאות אותן מבקשת האפליקציה, יאנגו מסרה כי "מרבית אפליקציות השירות היום מבקשות הרשאות שונות לשימושים בפיצ'רים הייחודיים להן. אין כל חובה למשתמשי יאנגו לאפשר שימוש בפיצ'רים אלו, מכיוון שהם בהמלצה בלבד והאפליקציה תעבוד גם אם לא יאשרו אותם. לדוגמא - שימוש במיקרופון מתבקש על מנת לאפשר שימוש בפיצ'ר הייעודי להקלטת הודעות ותרגומם לטקסט על ידי הנהג ו/או הנוסעים. השימוש בהרשאה ליצירת פרופילים היא על מנת לאפשר שימוש בין אפליקציות שונות של קבוצת יאנדקס, לדוגמת הזרמת המוסיקה, החיפוש או הניווט לדוגמא. כך שניתן באמצעות אפשרות זו לחבר בין האפליקציות השונות לנוחיות המשתמש. כפי שנאמר, אנו כפופים לחוגי רגולציה נוקשים וכמובן עניין הפרטיות של המשתמשים הינה בראש סדר החשיבות שלנו".
בהתייחס ליחסים עם הבנק הממשלתי הגדול ברוסיה, סברבנק, נמסר כי "חברת סברבנק אינה מחזיקה עיקרית בקבוצת יאנדקס. בתוך קבוצת יאנדקס ישנן מגוון חברות, בין השאר ישנן שתי חברות: YANDEX.MONEY (מערכת תשלום מקוונת) ו- YANDEX.MARKET (פלטפורמה המאפשרת למכור ולקנות סחורות). לשתי החברות הללו מיזמים משותפים עם סברבנק, ולהן אין כל קשר לחברת יאנדקס טקסי, חוץ מהיותן שייכות לאותה הקבוצה".