מאגר עצום של יותר מחצי מיליון תלמידים בישראל היה חשוף ברשת, ורק אחרי התערבות TheMarker הוא נסגר וירד מהאוויר. מדובר במאגר של נתונים שהצטברו באפליקציה בשם טריביו (Tribu), שבה משתמש משרד החינוך כדי לנהל את פרויקטי ההתנדבות של התלמידים (מעורבות חברתית) ומחבר בינם לבין ארגונים הזקוקים למתנדבים.
מאגר המידע כלל 517 אלף מספרי תעודות זהות, אי־מיילים ומספרי טלפון של קטינים, אלפי תמונות של מתנדבים, חתימות בכתב יד של תלמידים ואף נתונים לגבי שעות עבודתם של המתנדבים. המאגר, שאוחסן בשרת ענן של אמזון, היה זמין לכל דורש באמצעות הדפדפן. מי שגילה את המאגר הם חוקרי אבטחת המידע נעם רותם ורן לוקאר.
איש העסקים רון צוקרמן ורעייתו, דוגמנית העבר מיכאלה ברקו, יזמו את פיתוח האפליקציה לחיבור בין מתנדבים לבין ארגונים חברתיים ועמותות. טריביו קיבלה במארס האחרון "אישור להפצת סביבה טכנולוגית" ממנהל אגף התשתיות במשרד החינוך, סם קפלן. בכיר במשרד החינוך טוען כי המערכת אף עברה בדיקות חדירוּת (PT), אך רותם מטיל ספק בגרסה זו: "אין מצב שהם עברו בדיקת אבטחה אחת. זה לא היה עובר את אפליקציית הסריקה הכי בסיסית".
אין זו הפעם הראשונה שבה משרד החינוך ממליץ על אפליקציה שמתגלה כחלשה בהיבטי סייבר: במארס 2018 נחשף ב–TheMarker כי הקבצים באפליקציית "רימני", שהמשרד המליץ עליה להורים לילדים בגנים כדי לקיים תקשורת עם הגננת, אינם מוגנים, וכי למרות זאת, האפליקציה קיבלה את אישורו של קפלן.
עוד ב–TheMarker
הסרת תכנים מטיק טוק: ישראל היא אחת היחידות בעולם שדרשו זאת
פרצת אבטחה: מידע אישי של מטופלים דלף ממערכות מד"א
משכורות של מאות אלפי שקלים בשנה
אף שהיא מוגדרת כחברה לתועלת הציבור, טריביו סיימה את 2018, על פי נתוניה הציבוריים, עם הכנסות של 1.7 מיליון שקל, שמקורן ב"תרומות מחו"ל". משכורתו של מנכ"ל העמותה, עפר האן, היתה בשנה זו 255 אלף שקל, ואילו סמנכ"ל התפעול, תם לביא, השתכר 252 אלף שקל על 75% משרה. אלו שני העובדים היחידים בחברה, ומלבדם רשמה החברה הוצאות "אחרות" של 800 אלף שקל ועודף של 327 אלף שקל. את פעולת האסגרה ביצע TheMarker מול משרד החינוך, מערך הסייבר הלאומי והרשות לפרטיות.
ממשרד החינוך נמסר: "אנו בודקים את הנושא מול הספק, ומוודאים שאין כל זליגה של נתונים".
מחברת טריביו נמסר בתגובה: "זוהה ליקוי אבטחה. מענה ניתן תוך שעות ספורות ובוצע עדכון למערכת. ממשיכים לעקוב ולוודא שהעידכון הוטמע בהצלחה. אנו אחראים לאבטחת המידע בפלטפורמה שלנו ונותנים מענה מידי ככל שנדרש. פלטפורמת טריביו ממשיכה כסדרה בעשייה הפילנטרופית למען תלמידי ישראל והחברה בישראל, ותוסיף לקדם את ההתנדבות במדינה".
