קוד המקור של המגן המתפרסם בפומבי שונה וחסר לעומת הקוד המשמש את האפליקציה בפועל - כך מדווחים נעם רותם ועידו קינן, מהפודקסט CyberCyber.
המגן הוא אפליקציה וולונטרית לניטור מקום שמשרד הבריאות פיתח ושחרר בתחילת הקורונה. האפליקציה מנטרת את מיקום הטלפון באמצעות אותות GPS ו-Wi-Fi ושומרת את המידע במכשיר הנייד. אדם יכול להעביר את המידע למשרד הבריאות באופן וולונטרי, אם אובחן כחולה קורונה. בימים אלה אמור המשרד לשחרר את המגן 2, המוסיפה איתור מגעים מבוסס בלוטות' לאיתור המיקום. משרד הבריאות שחרר את קוד המקור של המגן לציבור הרחב, תחת רישיון קוד פתוח מסוג MIT, כדי להגביר את אמון הציבור באפליקציה.
בבדיקה שעשה רותם, האקר אתי, לקוד המקור של הגרסה הקיימת של האפלקיציה, הוא גילה שיש בה שני רכיבים שקוד המקור שלהם לא שוחרר -
- רכיב אחד, לא פעיל, מנטר קירבה באמצעות בלוטות'. בזה כשלעצמו אין רע מציינים הכותבים ואף משבחים את פרוטוקול שפיתחו ד"ר אייל רונן ופרופ' בני פנקס ששם את פרטיות המשתמשים בראש סדר העדיפויות ומגן עליה באמצעים קריפטוגרפיים מתקדמים. אלא שהעובדה שהמגן 1 כולל קוד כזה הועלמה מידיעת הציבור.
- רכיב שני הוא זה שמאפשר העברה וולונטרית של מיקומי אדם מהמכשיר הנייד שלו לשרתי משרד הבריאות. הרכיב לייצוא המידע נכתב על ידי חברה מסחרית, Wix, ונמצא במרחב השמות שלה – ולא בזה של משרד הבריאות.
רותם וקינן כותבים על כך ש"פרויקט כזה – שאמור להיות מטופל בכפפות של משי בשל האמון שהוא מבקש ממליוני אזרחים לתת בו – אסור לחתוך בו פינות. יש לשים תהליכי בקרה על תהליכי הבקרה על מנת לוודא שמה שמובטח – זה מה שמבוצע בסופו של דבר. אם האפליקציה מכריזה שהיא לא אוספת מידע באמצעות בלוטות' – אסור בתכלית האיסור שיהיה בה קוד האוסף מידע באמצעות בלוטות'. אם האפליקציה מכריזה שהיא שקופה ושכל אחד יכול לוודא זאת באמצעות מעבר על הקוד עצמו – יש לוודא באלף עיניים כי האפליקציה שעולה לחנויות אכן מכילה את הקוד המופיע במאגר, ורק אותו."
לדבריהם, משרד הבריאות קיבל את האחריות לטעויות ופעל במהירות לתיקונן. "תכלס, זה הרבה מעבר למה שעושים ברוב המקומות האחרים להם אנחנו מאסגרים פרצות אבטחה, חולשות וטעויות."
law.co.il מזכיר ביבושת שלטעות, להיתפס ולתקן זה לא כמו להימנע מטעות מלכתחילה וכי בסוגיה כל כך רגישה כמו האמון באפליקציה המנטרת את מקומם של משתמשים, לעתים קרובות אין הזדמנות שניה לרושם ראשון.