מתפרסם מאז שנת 1999
[ידיעה מעודכנת]: הוגשו ארבע תביעות נפרדות (ובקשה לאשרן כתובענות ייצוגיות) נגד פייבוקס פיתרונות תשלום/בנק דיסקונט בשל דליפת פרטי לקוחות לגורמי צד ג’
בחלון המבזקים של אתר זה דיווחתי הבוקר בשעה 06:45: הוגשו (30.1.2020) למחוזי ת”א שלוש תביעות נפרדות (ובקשה לאשרן כתובענות ייצוגיות) נגד פייבוקס פיתרונות תשלום/בנק דיסקונט בשל דליפת פרטי לקוחות לגורמי צד ג’.
Read IT Now היה האתר הראשון לדווח על שלוש התביעות הללו.
בשעה 12:09 דיווחתי בחלון המבזקים של אתר זה: לאחר שהבוקר דיווחתי על 3 תביעות נפרדות בנושא דליפת המידע משירות התשלומים פייבוקס, הוגשה היום (30.1.2020) כבר תביעה רביעית בנושא זה.
כמו במקרים אחרים דומים, ייתכן בהחלט שהנתבעת/ות יגישו בקשה לאחד את הדיון בארבע התביעות לדיון אחד מאוחד. מאידך, יש אפשרות שמגישי הבקשה הראשונה (מבחינת לוח הזמנים) יגישו בקשה לדחות את שתי הבקשות האחרות.
להלן סקירת ארבע התביעות הללו (והבקשות לאשרן כתובענות ייצוגיות):
= = = = = = = = = = = = = = = = = =
התביעה הראשונה (ובקשה לאשרה כתובענה ייצוגית לפי חוק הגנת הצרכן):
התובעים בתיק זה הם יששכר ואיילת כרמלי [“בעל ואשה אשר משתמשים בשירותי האפליקציה פייבוקס של המשיבה”]. התביעה הוגשה באמצעות עו”ד יוחי גבע וניזאר טנוס. הנתבע: בנק דיסקונט. היקף התביעה הקבוצתית: 25 מיליון ₪.
בכתב הטענות נאמר בין היתר כי בקשת האישור היא “בעלת חשיבות ציבורית רחבה שכן שירות העברת כספים דרך אפליקציות של תאגידים בנקאיים מהווה נתח חשוב ואף עיקרי בשוק העברת הכספים, ולכן חובה על התאגידים הבנקאיים לדאוג להפעלה בטוחה ולא רשלנית של שירותים אלה, על-מנת למנוע נזקים מיותרים ללקוחות שמשתמשים באפליקציות אלה. המטרה הינה לגרום לגופים אלה לפעול בשקידה בכל הנוגע לשמירה על מאגרי המידע של הלקוחות שלהם”.
“העובדה כי שוק המזומן הולך ומצטמצם מפנה את הזרקורים לעבר שימוש באפליקציות אלה, ולכן על התאגידים המסחריים לנקוט משנה זהירות כלפי הלקוחות, כי המסחר בפרטי לקוחות וגניבת נתונים הינה אחד האתגרים שעל התאגידים המסחריים להתמודד עימם ואף לדאוג מבעוד מועד למניעת תקלות צפויות, דוגמת התקלה נשוא בקשת האישור דנן.
“על אחת כמה וכמה כאשר הפגם ודליפת הנתונים מקורם באותו תאגיד מסחרי שנהג, ככל הנראה, ברשלנות כלפי לקוחותיו, ואין מדובר בתקלה חיצונית או במתקפת סייבר חיצונית, אלא בתקלה פנימית אישית של המשיבה”.
כתב הטענות מצטט מתוך ידיעה בנושא שפורסמה ב- YNET ב- 29 בינואר 2020.
= = = = = = = = = = = = = = = = = =
התביעה השנייה (ובקשה לאשרה כתובענה ייצוגית לפי חוק הבנקאות):
התובעת בתיק זה היא מעיין דילר המשתמשת בשירותי פייבוקס. התביעה הוגשה באמצעות עו”ד עמית גולד טאבישי כהן. הנתבע: בנק דיסקונט. היקף התביעה הקבוצתית: מעל 2.5 מיליון ₪ בשלב זה.
בכתב הטענות נאמר בין היתר כי “[…] על אף שהמשתמשים בפייבוקס הפקידו מידע אישי ורגיש ביותר בידיו הנאמנות של בנק דיסקונט, שחב כלפיהם בחובות סודיות ואמות מכוח מערכת היחסים עימו כתאגיד בנקאי, דיסקונט גרם לכך שהמידע האמור דלף. עפ”י הודעת דיסקונט, דליפת המידע אירעה בשל תקלה בהתקנת שרת בשירות פייבוקס. הודעה זו דווחה לציבור עשרה ימים לאחר אירוע דליפת המידע, כאשר בהודעה שנשלחה למשתמשים כלל לא צויין מועד אירוע דליפת המידע. ההודעה לא כללה פירוט אודות המידע שדלף, ורק לאחר בקשות מהמשתמשים ניתן פירוט חלקי בלבד אודות פרטי המידע שדלפו”.
= = = = = = = = = = = = = = = = = =
התביעה השלישית (ובקשה לאשרה כתובענה ייצוגית לפי חוק הגנת הצרכן):
התובעים בתיק זה הם סנדי אלכסנדר פרנג’י וסיון יעלי בצרי. התביעה הוגשה באמצעות עו”ד יהודה אברהם ורועי בכר. הנתבעים בתיק זה הם פייבוקס פיתרונות תשלום בע”מ ובנק דיסקונט. היקף התביעה הקבוצתית: 850 מיליון ₪.
התובע הראשון הוא מייסד שותף בחברת ההזנק CYABRA “אשר מגנה על ממשלות וארגונים ממתקפות של ידיעות כוזבות (‘פייק ניוז’)”.
בכתב הטענות נאמר בין היתר כי הבקשה לאישור מוגשת “בעניין צרכני חשוב מאין כמוהו – זכותו הבסיסית והיסודית של הצרכן בישראל, קל וחומר לקוח של בנק בישראל – אשר מטבע הדברים ראוי כי נהלי אבטחת המידע שלו יהיו ברמה המחמירה ביותר – כי פרטיו האישיים ביותר לא ידלפו לצדדי ג’.
“הייתכן כי במדינת ישראל, בשנת 2020, בנק יעדכן את משתמשיו כי בשל ‘תקלה’ פרטיהם האישיים ביותר דלפו לצדדי ג’?!
“ודוק, לא מדובר אך ורק בדליפת פרטיהם האישיים של המשתמשים (לא שיש להקל בכך ראש), אלא גם בדליפת מידע אשר כוללת את אל הפעילות הפרטית ו/או העסקית אשר ביצעו אותם משתמשים באמצעות האפליקציה”.
= = = = = = = = = = = = = = = = = =
התביעה הרביעית (ובקשה לאשרה כתובענה ייצוגית לפי חוק הגנת הפרטיות):
התובעים בתיק זה הם רום מי-דן ודוד פורר. התביעה הוגשה באמצעות עו”ד אלון פרנס ונועה וקסברגר. הנתבעים בתיק זה הם פייבוקס פתרונות תשלום בע”מ [PAYBOX PAYMENT SOLUTIONS LTD] ובנק דיסקונט. היקף התביעה הקבוצתית: 500 מיליון ₪.
כשפירסמתי את הידיעה כאן באתר ציינתי כי “כתב הטענות בתביעה זו טרם פורסם באתר הנהלת בתי-המשפט, נכון למועד פרסום ידיעה זו כאן באתר”. בינתיים פורסם כתב הטענות.
בכתב התביעה נאמר בין היתר כי “ביום 29.1.2020 הודיעה אפליקציית PAYBOX שבעלות המשיבים למשתמשיה כי בעקבות תקלה ‘דלף מידע’ של משתמשי האפליקציה. PAYBOX התנצלה אומנם על התקלה אולם לא סיפקה פרטים מהם ניתן היה להבין מה היקף התקלה, מהם הפרטים האישיים שדלפו לרשות הרבית, מה הפעולות המבוצעות על מנת למנוע הישנות של תקלות דומות, ועוד.
“עם זאת, חלק מהפרטים האישיים שמסרה PAYBOX כי דלפו כתוצאה ממחדל של אבטחת המידע, כלל לא היו אמורים להיות ברשות הרבים.
“כמו כן לא הודיעו המשיבים על פיצוי כלשהו שיינתן למשיבים בגין הנזק שנגרם להם עקב מחדל אבטחת המידע”.
בהמשך כתב התביעה נאמר כי פייבוקס פיתחה ומפעילה אפליקציית תשלומים וכי מדובר ב”חברת הזנק מצליחה” אשר נרכשה בשנת 2017 על-ידי בנק דיסקונט, הגורם החתום על תנאי השימוש ומדיניות הפרטיות באפליקציה זו. לפי פרסומים שונים, באפליקציה רשומים כמיליון משתמשים.
“[…] נושא אבטחת המידע באפליקציות האוספות מידע אישי על משתמשים הוא בעל חשיבות רבה. חשיבות זו מתעצמת כאשר עסקינן באפליקציה העוסקת בביצוע תשלומים באופן סלולרי ולפיכך אוספת מידע רב ומקיף על המשתמשים, אשר זליגתו עלולה לגרום לנזק כבד”.
“[…] חלק מרכזי בפעילות גיוס המשתמשים של המשיבה נעשה באמצעות הנחת דעתם של המשתמשים הפוטנציאליים כי שימוש באפליקציה בטוח, דהיינו” המידע שנמסר על-ידם מאובטח ושמור, ואין מקום לחשש כי מידע זה יזלוג אל מחוץ לחברה וישמש למטרות אחרות מהמטרות שלשמן הוא נמסר”.
= = = = = = = = = = = = = = = = =
ב- 29.1.2020 פורסמה “תגובת בנק ישראל לאירוע דלף המידע באפליקציית התשלומים פייבוקס”
בהודעה לעיתונות שפירסם הבנק נאמר כי “בנק ישראל עודכן לגבי אירוע דלף המידע באפליקציית התשלומים פייבוקס ועוקב מקרוב אחר ההתפתחויות. לצד הפעולות שנקט בנק דיסקונט, בנק ישראל, בהתייעצות עם מערך הסייבר הלאומי, הנחה את הבנק בדבר צעדים נוספים שעליו לנקוט. הרשות להגנת הפרטיות במשרד המשפטים עודכנה אף היא לגבי פרטי האירוע.
“מהניתוח שבידינו עולה כי אין חשש לפגיעה כספית ישירה בלקוחות האפליקציה כתוצאה מהמידע שנחשף. בנק ישראל ממשיך לבדוק את פרטי האירוע.
“לאור התגברות הפעילות הפיננסית באמצעים הדיגיטליים, וכפי שאמרנו בעבר, מומלץ שהציבור יהיה ערני כלפי ניסיונות הונאה (דוגמת פישינג – “דיוג”) ויפעל על פי המלצות התגוננות שבנק ישראל פרסם זה מכבר.
“הפיקוח על הבנקים יבצע תחקיר מעמיק של האירוע, יסיק מסקנות, וינחה את הבנק ואת המערכת הבנקאית בהתאם”.
= = = = = = = = = = = = = = = = =
פורסמה הודעה לעיתונות ע”י משרד המשפטים מטעם הרשות להגנת הפרטיות (לשעבר, רמו”ט)
בהודעה לעיתונות שפירסם משרד המשפטים ועליה חתומה כרמית אורפז-ימין מאגף דוברות הסברה ותקשורת במשרד נאמר בין היתר כי אירוע אבטחת מידע באפליקציית פייבוקס דווח לרשות להגנת הפרטיות ע”י בנק דיסקונט “וזאת בהתאם לחובת הדיווח הקבועה בתקנות הגנת הפרטיות (אבטחת מידע)”.
“בהתאם לכך הרשות בוחנת את הפגיעה בלקוחות וההיבטים הקשורים להגנה על המידע האישי של לקוחות פייבוקס ואת הפגיעה בהם וכן את פעילות פייבוקס בנודע לאירוע ועמידתה בהוראות התקנות”.
“[…] הרשות ממליצה ללקוחות לשנות את הסיסמה האישית באפליקציית פייבוקס וככל שמדובר בסיסמה המשמשת אותם גם לשירותים דיגיטליים אחרים – לשקול לשנות את הסיסמה גם בשירותים האחרים”.
= = = = = = = = = = = = = = = = =
הערה: כל ההדגשות המופיעות בידיעה זו מופיעות באופן זהה בכתבי הטענות המקוריים.