JCrush – "טינדר" היהודית – חשפה מידע אישי רגיש על משתמשיה

אפליקציית ההיכרויות לקהילה היהודית, JCrushe, היא אולי מקום מושלם למצוא בו אהבה לבני הדת, או אם תרצו זיווג משמיים, וזאת בלי עזרה של שדכן כמו בעבר, אבל כעת מסתבר שהיא גם עלולה לחשוף את מי שבחר להשתמש בה לעיניים סקרניות, וחלילה לטעמים לא הכי צנועים ומתאימים, אולי אפילו לצורך סחיטה.

JCrush הושקה ב-2014 והטכנולוגיה שלה מאוד דומה ליישום ההיכרויות המפורסם והמצליח טינדר. אלא שהאפליקציה המסוימת פונה בהגדרה רק לקהילה היהודית, והונדסה כך שתהיה ייעודית לשימושם של הרווקים והרווקות שנכללים בה. כבר כחודש לאחר התחלת פעילותה היו לה כ-5,000 משתמשים רשומים וכעת היא מונה כ-200 אלף אנשים, שבסך הכל רוצים למצוא אהבה או פרטנר/ית לחיים.

תכנים רגישים בלי סיסמה ובלי הצפנה

אלא שלרוב משתמשי יישומים שכאלו בונים על כך שהטכנולוגיה תשמור עליהם ועל פרטיותם מכל משמר, אבל JCrush כשלה מלעשות זאת.

לפי חשיפה של TechCrunch, ובהתבסס על דיווחיהם של חוקרי האבטחה הישראלים נועם רותם ורן לוקר – ששיתפו את ממצאיהם עם האתר ואף כתבו אותם בבלוג של חברת האבטחה vpnMentor – כשל באבטחת אפליקציית ההיכרויות לקהילה היהודית הותיר את מסד הנתונים פתוח ללא סיסמה, וכך נחשפו רשומות משתמש רגישות והודעות פרטיות, "לכל אחד שישע היכן לחפשן", הסביר הדיווח.

מאגר המידע החשוף, ובו תוכן בנפח של מעל 18 ג'יגה בייט, כלל נתונים רבים כמו: שמות מלאים, כתובת מייל, כל המידע מפרופיל המשתמש (כגון למשל תמונותיו). אבל אולי חמור מכך, הוא הסגיר גם 6.5 מיליון מסרים שעברו כהודעות באופן פרטי בין מי שחיפש אהבה באפליקציה, ולמרות שזו מוקדשת רק לקהילה היהודית, לא מדובר ביישום שידוכים דתי או חרדי, ולכן היו במאגר ככל הנראה גם תכנים מיניים, תמונות אינטימיות מאוד ועוד תוכן אישי שנשמר על השרת בלי כל הצפנה.

מעבר לכך היו פגיעים לניצול גם: נתוני המכשיר של המשמתש, טוקן ההתחברות לפייסבוק, המזהה הגיאוגרפי של הלוקיישנים האחרונים שבהם הוא או היא התחברו ליישום, ואפילו מדד השימוש ביישום מבחינת זמן שהייה בו.

רותם פרסם בחשבון הטוויטר שלו ציוץ עם הקישור לכתבה ב-TechCrunch ובו כתב: "אפליקציית ההכרויות ליהודים "JCrush" שכחה שאבטחת מידע זה דבר וחשפה את כל הדטהבייס שלה, שכלל את *כל* הפרטים על *כל* המשתמשים, כולל תמונות פרטיות, הודעות פרטיות, כתובות פיזיות, טלפונים, מידע על מי "נדלק" על מי, ומה קרה אחר כך".

החברה הגיבה לממצאים החמורים ואמרה והתעקשה כי "לא נמצאו כל ראיות לכך שגורמים זדוניים הצליחו לגשת למידע או לנצל אותו לרעה".