חשיפה: הכלי החכם לקניות Phia אסף מידע פרטי רב מהמשתמשים מבלי לדווח - חשש להפרת פרטיות

16 בנוב׳ 2025, 2:52•חדשות•1 מקורות

חוקרי אבטחה חשפו כי Phia, כלי AI לקניות מקוונות, אסף נתונים רגישים ממשתמשים מבלי לדווח, כולל תוכן מלא של דפי אינטרנט ואתרי בנקאות. למרות תיקונים שבוצעו, נותרו חששות פרטיות משמעותיים סביב איסוף נתונים והסכמה, עם השלכות משפטיות פוטנציאליות לפי תקנות כמו GDPR.

חשיפה: הכלי החכם ל**קניות** Phia אסף מידע פרטי רב מהמשתמשים מבלי לדווח - חשש להפרת פרטיות

Phia - הכלי הבינה המלאכותית לקניות שכבש את עולם הטכנולוגיה עומד במוקד סערה פרטיות

חברת Phia, סטארט-אפ בינה מלאכותית לקניות שנוסדה על ידי פיבי גייטס (בתו של ביל גייטס), נמצאת תחת ביקורת לאחר שחוקרי אבטחה גילו כי התוסף הדפדפן שלה אסף מידע רגיש בהרבה מהמדווחת** - כולל נתונים מכל דף אינטרנט שביקר בו המשתמש, גם מחוץ לאתרי מסחר אלקטרוני.

מה התגלה?

איסוף נתונים נרחב: גרסה קודמת של התוסף העבירה לשרתי החברה צילום מסך מלא (HTML) מכל דף אינטרנט שביקר בו המשתמש - כולל דפי בנק, מיילים פרטיים ומידע רגיש אחר.
העברה אוטומטית: הנתונים נשלחו באופן אוטומטי דרך קריאות API, גם כשההרחבה לא הייתה בשימוש פעיל. הפונקציה logCompleteHTMLtoGCS בתוך הקוד כיוונה לאיסוף ועיבוד הנתונים.
הפרת מדיניות פרטיות: הפרקטיקה סתרה את מדיניות הפרטיות של החברה שטענה כי היא אוספת רק "נתונים טכניים מוגבלים מאתרי קמעונאות".

ממצאים נוספים:

המידע כלל מסמכי בנק (כמו Revolut) ופעילות ב-Gmail
הטכנולוגיה אפשרה שחזור מלא של היסטוריית הגלישה של המשתמשים
חברת האבטחה LayerX Security אישרה כי הממצאים ניתנים לשחזור

תגובת Phia ושינויים שבוצעו

לאחר חשיפת הפרשה, Phia ביצעה שינויים בתוסף:

הסרה מוחלטת של פונקציית איסוף ה-HTML המלא
מעבר לאיסוף כתובות URL בלבד (אך לא תוכן הדפים)
הוספת רשימת אתרים "מותרים" (Whitelist)

לטענת החברה:

"המידע נאסף באופן אנונימי ומצטבר לצורך זיהוי אתרי קמעונאות"
"הנתונים מעולם לא אוחסנו או נמכרו לצדדים שלישיים"
"כל השינויים נעשו בהתאם לתקנות הפרטיות"

דאגות פרטיות שעדיין קיימות

למרות השיפורים, חוקרים מעלים חששות חדשים:

כתובות URL עשויות להכיל מידע רגיש: מונחי חיפוש, מספרי לקוח, או אפילו תעודות זהות
רשימת האתרים המוחרגים אינה קבועה - הפלטפורמה עדיין אוספת נתונים מ-Bing למרות שהיא מתעלמת מגוגל
המשתמשים נדרשים להתחבר עם חשבונות אמיתיים (Gmail/Apple ID), מה שמאפשר לקשר זהות אמיתית עם היסטוריית הגלישה

השלכות חוקיות בינלאומיות

הפרה אפשרית של ה-GDPR באיחוד האירופי בכל הקשור לעקרונות השקיפות, מינימום איסוף הנתונים ובסיס חוקי לעיבוד
עומדת בסתירה לחוקי פרטיות ברמת המדינה בארה"ב (כמו CCPA בקליפורניה)
עורכי דין בתחום ציינו כי ייתכן ותהיינה תביעות ייצוגיות

האתגר הרחב יותר - בינה מלאכותית ומהירות החדשנות

מונהיר שארמה, חוקר האבטחה הראשוני שגילה את הפרצה, מסביר:

"הפגיעות האבטחתיות בחברות סטארט-אפ ב-12 החודשים האחרונים מדאיגות. חברות אלו נעות בקצב מהיר פי 10 ממה שנחשב פעם למחזור פיתוח תוכנה סטנדרטי"

גורמים מרכזיים לסיכון:

Vibe Coding - שימוש בבינה מלאכותית ליצירת קוד ללא בקרה אנושית מספקת
דפדפני AI כגון Atlas של OpenAI ו-Comet של Perplexity דורשים הרשאות נרחבות
מחסור בפיקוח אפקטיבי על הרחבות דפדפן למרות כוחן הרב

עצות למשתמשים

בדקו הרשאות הרחבות דפדפן לפני התקנתן
הימנעו מהתקנת כלים שאינם מגיעים ממקורות מוסמכים
קראו מדיניות פרטיות גם כשמדובר בכלים נוחים לשימוש

מבט קדימה

Phia, שזה עתה גייסה 8 מיליון דולר בסבב Seed בהובלת Kleiner Perkins וזכתה בתואר "ההמצאות הטובות של 2025" מטעם TIME, תצטרך להתמודד עם השלכות הפרשה. המחדל ממחיש את המתח בין חדשנות טכנולוגית לשימור פרטיות בעידן של בינה מלאכותית - אתגר שרק ילך ויחריף בשנים הקרובות.