הוגשה תביעה (ובקשה להכיר בה כתובענה ייצוגית) נגד בנק ירושלים בגין פגיעה חמורה לכאורה בפרטיות הלקוחות אשר כללה חשיפת מידע רגיש שלהם בפני צדדים שלישיים עויינים ב- Darknet

לבית-המשפט המחוזי בירושלים הוגשה ב- 9 בנובמבר 2017 תביעה (ובקשה להכיר בה כתובענה ייצוגית) נגד בנק ירושלים בגין פגיעה חמורה לכאורה בפרטיות הלקוחות אשר כללה חשיפת מידע רגיש שלהם בפני צדדים שלישיים עויינים ב- Darknet.

התובע בתביעה זו הוא שניאור מלין. בתביעה נאמר בין היתר כי “עניינה של הבקשה דנן הוא פגיעה חמורה בפרטיותם של חברי הקבוצה, אשר כללה חשיפת מידע רגיש של חברי הקבוצה, ביניהם התובע, בפני צדדים שלישיים עויינים ברשת האפילה של האינטרנט (Darknet) שאסור היה להם להיחשף למידע האמור, וזאת עקב רשלנותו של הנתבע בשמירה על המידע הרגיש של לקוחותיו.

“בתאריך 10 בינואר 2016 אירעה פריצה לאחד מאתרי המסחר של בנק ירושלים. כתוצאה מפריצה זו דלפו פרטיהם האישיים והרגישים של לקוחות הבנק אשר פעלו באתר. בעקבות פריצה זו קיימה הרשות למשפט, טכנולוגיה ומידע (רמו”ט) [כיום קרוייה הרשות להגנת הפרטיות; משתייכת למשרד המשפטים] הליך פיקוח לבירור האירוע.

“במסגרת ההליך התברר כי בעקבות הפריצה האמורה דלף מידע אישי רגיש מאתר למסחר בבורסה בעקבות התנהלותו הרשלנית של הנתבע. המדובר באתר מסחר בבורסה – ירושלים ברוקראז’ בכתובת www.cfb.co.il שנרכש ע”י בנק ירושלים במסגרת רכישת כלל פיננסים בטוחה ברוקראז’ בע”מ ומיזוגה לתוך הבנק עוד בשנת 2014.

“כתוצאה מפריצת האתר ע”י האקרים מקבוצת AnonGhost פורסמו ברשת האפלה פרטיהם האישיים והרגישים של לקוחות הבנק ולקוחות בנקים נוספים אשר פעלו באתר האינטרנט.

“הנתונים שפורסמו כללו מידע רגיש, לרבות שמות פרטיים ושמות משפחה, פרטי קשר, מספרי חשבון בנק, יתרות חשבונות, פעולות בניירות ערך, כתובות מגורים, כתובות דוא”ל, מספרי טלפון, מספרי תעודות זהות, תאריכי לידה, שמות משתמשים וסיסמאות לאתר המסחר בבורסה וכדומה.

“במסגרת הליך הפיקוח ביצעה רמו”ט בדיקות מקיפות לגבי הנסיבות שהביאו לאירוע, לרבות איסוף מידע ודרישת ידיעות ומסמכים בכתב, בדיקת נהלי שמירת המידע ואבטחתו, וכן הליך שימוע במסגרתו ניתנה לבנק הזדמנות להשמיע את טיעוניו העובדתיים והמשפטיים, בכתב ובעל-פה. מממצאי הפיקוח עלה כי על אף שהבנק קבע את סדרי הניהול של מאגר המידע ונהלי אבטחת המידע, לא היה די בקביעת נהלים אלו ללא יישומם בפועל כפי שהתרחש במועד האירוע.

“… רמו”ט מצאה כי בתקופת הביניים בין רכישת הפעילות העסקית של אתר האינטרנט ועד להורדתו (בשנים 2014-2016) החליט הנתבע (החלטה שערורייתית מאין כמותה) שלא להגן על האתר באותם סטנדרטים בהם מוגנים אתרים אחרים של הבנק … ויודגש כי מבדיקת רמו”ט עלה כי הנתבע, בניגוד לדין, לא נקט אמצעי אבטחה סבירים במידה ראוייה למניעת התקפת השרתים והתשתיות האפליקטיביות שלו המכילים מידע אישי, כנדרש.

התובע הוא לקוח של בנק ירושלים ומשתמש באתר המסחר של הבנק. בנק ירושלים הוא התאגיד הבנקאי השביעי בגודלו במדינת ישראל. בחודש יוני 2017 נחשף התובע לכתבה במוסף ‘ממון’ של ‘ידיעות אחרונות’ במסגרתה הוא התוודע – לראשונה, לדבריו – לכך ששנה וחצי קודם לכן נפרץ האתר המדובר.

כאשר פנה אל השירות הטלפוני של בנק ירושלים נענה כי האירוע התרחש שנה קודם לכן ומלבד שם וכתובת מייל לא נחשפו פרטים אישיים.

התביעה הוגשה באמצעות עו”ד ישי זילברברג.