ייצוגית של התנועה לזכויות דיגיטליות ותובע נוסף נגד קשר רנט א קאר: “בשם כל לקוחות המשיבה אשר פרטים או מידע שלהם נשמרו באתר או בשרת המשיבה”; היקף התביעה הקבוצתי: 16.4 מיליון ₪

ביום שלישי (17.11.2020) בצהריים דיווחתי בחלון המבזקים של אתר זה: הוגשה (17.11.2020) תביעה (ובקשה לאשרה כתובענה ייצוגית לפי חוק להגנת הצרכן) של התנועה לזכויות דיגיטליות (ע.ר.) ותובע נוסף נגד חברת קשר רנט א קאר בע”מ; התביעה: “בשם כל לקוחות המשיבה אשר פרטים או מידע שלהם נשמרו באתר או בשרת המשיבה”; טרם פורסם כתב התביעה המלא; היקף התביעה הקבוצתי: 16.4 מיליון ₪.

התביעה הוגשה באותו היום לבית-המשפט המחוזי מרכז-לוד ע”י התנועה לזכויות דיגיטליות (ע.ר.) וע”י אמיר לוי. התנועה מוצגת בכתב התביעה כ”עמותה העוסקת בהגנה ובקידום זכויות פרט וקהילה בעידן הדיגיטלי, ביניהן הזכות לפרטיות”.

בכתב הטענות נאמר בין היתר כי “המשיבה בהתנהלותה במעשה ובמחדל גרמה לפגיעה במידע פרטי שהמבקש 2 [אמיר לוי] וחברי הקבוצה הפקידו בידיה מתוך אמונה כי זה יישמר אצלה באופן מוגן ומאובטח, כשאיפשרה חדירה לא-מורשית למידע סודי זה בידי גורמים שעלולים לעשות בו שימוש פוגעני ומזיק ובכך גם הסירה באופן כפוי את מעטה האנונימיות של צרכניה וגרמה להם להחשף, תרתי משמע, חרף רצונם שלא לעשות כן”.

“בחודש אפריל 2019 זוהתה פירצת אבטחה או דליפת מידע מהשרת של המשיבה שם רוכזו ונשמרו פרטים אישיים וסודיים של חברי הקבוצה לרבות ספרות אחרונות של כרטיס אשראי, שמות וכתובות, תחנות לקיחה והחזרת רכבים, מועדי השכרה ועוד פרטים רבים שנאספו ע”י המשיבה ממקורות שונים”.

“בשל פירצת האבטחה נשוא בקשת האישור ניתן היה לגשת לתוכן תיקיות של לקוחות המשיבה, באמצעות חיפוש פשוט במנוע חיפוש – לרבות Google – מבלי להיתקל באמצעי אבטחה כלשהים, ובכך להגיע למידע אישי ופרטי שלהם”.

“ודוק: דליפת המידע נשוא בקשת האישור אינה בבחינת גזירת גורל או ‘כוח עליון’ אלא מקורה בהתנהלות רשלנית (במעשה ובמחדל) של המשיבה – העומדת בניגוד לדין”.

“כמפורט בחוות דעת המומחית המצורפת לבקשה זו, הגדרות השרת בו עושה שימוש אתר האינטרנט של המשיבה שונו ע”י המשיבה ו/או מי מטעמה באופן אקטיבי מהגדרות ברירת המחדל של היצרן (חברת Microsoft) ובכך גרמה המשיבה למידע הפרטי להפוך לגלוי גם בעבור גורמים שאינם מורשים להחשף לו”.

בכתב הטענות צויין כי “דליפת המידע נשוא הבקשה תוקנה ע”י המשיבה, ככל הנראה לאחר שנודע לה דבר קיומה, אולם תיקון זה אין בו די וזאת משני טעמים עיקריים:

+ ראשית, התיקון בוצע מאוחר מידי, לאחר ש’הסוסים כבר ברחו מהאורווה’, דהיינו – לאחר שהמידע הפרטי של חברי הקבוצה כבר היה חשוף וגלוי למשך זמן ממושך.

+ שנית, גם לאחר התיקון, נותר מידע פרטי, לרבות חשבוניות של חברי הקבוצה, גלוי, כך שניתן גם כיום לאתרו במנועי חיפוש פתוחים דוגמת Google”.

הערות עורך Read IT Now:

+ חלק בלתי נפרד מכתב התביעה כאמור הוא חוות דעת בת 11 עמודים של קטי רזמדזה שכיום לומדת לתואר שלישי במדעי המחשב באוניברסיטת תל אביב. בתחום הניסיון המקצועי היא מעידה על עצמה שביצעה שני תפקידים במשרד הביטחון: ראשת צוות מחקר רשתות תקשורת וכן מדענית נתונים (Data Scientist).

בסיכום חוות הדעת שלה היא כותבת: “התנהלות ו/או מחדלי המשיבה הם שגרמו ללקוחות החברה לנזקים כמפורט בחוות דעתי זו, לרבות גניבת זהות, התקפות דיוג והנדסה חברתית. כאמור לעיל, גורם עויין אף יכול היה לעשות שימוש לרעה במידע הפרטי לנוכח פירצת האבטחה, גם ללא פעולות אלו, לנוכח טיבו של המידע הפרטי”.

“כפי שהובהר לעיל, פירצת האבטחה הייתה קיימת זמן רב וגם ‘תיקון’ הפירצה שביצעה המשיבה באפריל 2019, או בסמוך לכך, שיפר את המצב באופן חלקי, אך לא חסם את הפירצה באופן הרמטי, כך שגם כיום ניתן להגיע למידע הפרטי באמצעות מנועי חיפוש פתוחים”.

* אחד הנספחים של כתב התביעה הוא צילום מאמר של רן בר-זיק בעיתון ‘הארץ’ תחת הכותרת “שניות בודדות של עבודה היו מונעות דליפת מידע רגיש” שפורסם ביום 2.5.2019. המאמר עסק בפירצת אבטחה בשרת של חברת הרץ ישראל.

התביעה הוגשה באמצעות עו”ד אהוד גרי.