גורם עלום מנהל מבצע איסוף מודיעיני על בסיסים ומתקנים רגישים בישראל באמצעות אפליקציית הריצות סטראבה. בעזרת האפליקציה נחשף הגורם לזהותם ולמקום מגוריהם של עשרות חיילים בתפקידים רגישים. מדובר במחדל מתמשך של דליפת מידע מתוך צה"ל, שכן הפרצה מוכרת למערכת זה שנים. לאחר פניית "הארץ" פתחה מערכת הביטחון בחקירה בניסיון לאתר את הגורם.
הגורם, משתמש פיקטיבי בסטראבה שכינויו שמור במערכת, זייף עשרות מסלולי ריצה שלו עצמו בתוך בסיסי חיל האוויר, מודיעין ומתקנים רגישים אחרים. לאחר שהערים על האפליקציה הוא הצליח לגלות את זהותם של מאות חיילים ואזרחים ששירתו או משרתים במתקנים אלו. החיילים האלה לא שמרו על ביטחון שדה, ומדדו לעצמם — באפליקציית סטראבה — את מסלולי הריצה שלהם בתוך הבסיסים. המידע נשמר בשרתי סטראבה, ונחשף למשתמש הפיקטיבי באמצעות פיצ'ר ספציפי באפליקציה.
במערכת הביטחון לא זיהו את מבצע האיסוף לפני פניית "הארץ". אז כונסה ישיבת הערכת נזקים במחלקת ביטחון מידע בצה"ל, ונפתחה חקירה בשיתוף גורמי ביטחון אחרים. במערכת הביטחון סבורים כי יצליחו לאתרו. במערכת הביטחון סבורים שהמקרה הזה משקף את כל הבעיות בפלטפורמה.
החשבון הפיקטיבי נפתח ביולי השנה, ואולם תחילה לא היתה בו כל פעילות. אלא שלאחר זמן מה העלה המשתמש לחשבונו האישי בסטראבה 60 מסלולי ריצה מזויפים שכביכול השלים, בתוך 30 בסיסים בישראל, בפרק זמן של ארבעה ימים בלבד. ניכר שיש לו מודיעין מדויק על הבסיסים המדוברים, על מיקומם ועל תפקידם. בכלל זה מדובר על בסיסי חיל האוויר חצרים ותל נוף, בסיסי חיל הים באשדוד ובאילת, בסיסי 8200 בגלילות ובירושלים, בסיס יחידת המודיעין 504 בצפון, מאגרי החימוש ובסיס שדות מיכה, שעל פי פרסומים זרים מאוחסנים בו הטילים הגרעיניים של ישראל, הבסיס של ארה"ב בהר קרן, שבו שוכן מכ"ם מתקדם לגילוי טילים בליסטיים, ועוד.
בחינה מלאה של הפרופיל הפיקטיבי מוכיחה כי מדובר בהתנהגות מזויפת. אין סיכוי שהמשתמש השלים 60 ריצות בתוך 30 בסיסים במשך ארבעה ימים. כל הריצות המתועדות בפרופיל שלו הן למרחקים קצרים ביותר — על פי רוב פחות מקילומטר. בכמה מהמקטעים שבהם כביכול תיעד את עצמו אין שום כביש או מסלול ריצה. המשתמש לא ידע שבסיס שדה דב בצפון תל אביב כבר פונה, והעלה מקטע מזויף שלו רץ בין מסלולי ההמראה וההסעה שאינם קיימים זה שנים.
חיילים ואזרחים המשרתים במתקנים רגישים אלו ואחרים מעלים תדיר לחשבונותיהם בסטראבה את מקטעי הריצות שהשלימו. משתמש אחר שרץ באזורים האלה יכול לראות את זהות כל המשתמשים שרצו במקטע שהוא העלה לאתר. כך המשתמש הפיקטיבי יכול לראות את זהות כל המשתמשים שרצו בתוך הבסיסים שבהם כביכול רץ.
המשתמש ניצל פרצה בסטראבה — ולא היה צריך לרוץ בבסיסים האלה באמת כדי שיירשם לו מקטע ריצה בהם. הוא טען למערכת קובץ גאוגרפי מזויף שיצר במחשב, שלכאורה מציג ריצה בתוך המתקנים האלה. מאותו הרגע הוא נחשף לזהותם של כל הרצים האחרים באזור.
(הכתבה המלאה – הארץ)
