ייצוגית: הבנק לא איבטח כראוי - ופרטי אלפי ישראלים מוצעים למכירה ב"רשת האפלה"

בקשה לאישור תביעה ייצוגית נגד בנק ירושלים הוגשה בעקבות פריצה לאחד מאתרי המסחר שלו ודליפת מידע רגיש של לקוחותיו ■ בנק ירושלים: המידע אינו רגיש, וכולל רק שמות

רפאלה גויכמן
רפאלה גויכמן
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקיםכתוב תגובה
דארקנט
צילום: Getty Images

בקשה לאישור תביעה ייצוגית על סך 3 מיליון שקל שהוגשה באחרונה בבית המשפט המחוזי בירושלים גורסת כי בנק ירושלים קיבל "החלטה שערורייתית מאין כמוה" לא להגן כראוי על אתר אינטרנט בבעלותו, מה שהוביל לפריצה לאתר ולדליפת פרטי אלפי לקוחות. לפי התביעה, הבנק גם לא פיצה את הלקוחות שנפגעו, ואף הסתיר מהם את האירוע שהתרחש. את הייצוגית הגיש שניאור מלין, לקוח של הבנק.

מתקפות סייבר על בנקים והדלפות של מידע רגיש הן לא אירוע נדיר — אך הבנקים לא מחויבים לדווח על כך, ולכן הציבור לא נחשף לתופעה, שלפי בנק ישראל מתרחבת והולכת.

הבקשה הוגשה עקב אירוע שבו נפרץ אחד מאתרי המסחר של בנק ירושלים, ומידע רגיש של לקוחותיו דלף, ונמכר בימים אלה ברשת האפלה (דארקנט). הרשת האפלה היא מרחב אנונימי ברשת האינטרנט שאינו ממופה ולא ניתן לאתרו, מה שמאפשר לבצע בו פעולות לא חוקיות כמו סחר בנשק, במידע רגיש, בסמים, במסמכים גנובים ועוד.

האתר שנפרץ, "מסחר בבורסה — ירושלים ברוקראז'", נרכש על ידי בנק ירושלים ב–2014 מחברת כלל ביטוח , ונפרץ לפני שנתיים על ידי קבוצת ההאקרים AnonGhost המשויכת לקבוצת אנונימוס. לאחר אירוע הפריצה נסגרה פעילות האתר.

סניף של בנק ירושלים
סניף של בנק ירושליםצילום: גוגל סטריט ויו

מהבנק טענו לאחר שהפריצה נחשפה ודווחה כי היקף המידע שדלף לא משמעותי, וכלל רק שמות, כתובות מייל ומידע היסטורי על לקוחות הבנק. ואולם במסגרת הליך פיקוח שביצעה הרשות להגנת הפרטיות (לשעבר רמו"ט), התברר כי פרטיהם האישיים של 6,000 מלקוחות הבנק שדלפו כוללים שמות מלאים, פרטי קשר, מספרי חשבון בנק, יתרות חשבון, פעולות בניירות ערך, כתובות מגורים, מספרי טלפון, תעודות זהות, תאריכי לידה, שמות משתמש וסיסמאות לאתר ועוד. עוד עלה בחקירה כי האתר לא היה מאובטח כלל.

לפי ממצאי הרשות להגנת הפרטיות, בין רכישת הפעילות העסקית של האתר ב–2014 ועד הפריצה בתחילת 2016 הגיע בנק ירושלים להחלטה — שתוארה בכתב התביעה כ"שערורייתית מאין כמוה" — לא להגן על האתר באותם סטנדרטים שבהם הגן על אתרים אחרים שלו, מה שהוביל לפריצה.

לפי הרשות, בנק ירושלים לא יישם אף אמצעי אבטחה כדי להגן על המידע הרגיש של משתמשי האתר, ולא נקט באמצעי אבטחה סבירים כדי למנוע מתקפות שרתים ותשתיות אפקטיביות — ובכך הפר את הוראות סעיף 17 בחוק הגנת הפרטיות.

לטענת התובעים, לא רק שבנק ירושלים כשל בשמירה על פרטיות לקוחותיו — הוא גם לא פיצה את לקוחות הבנק שנפגעו, ולא שיתף אותם בעובדה שפרטיהם דלפו. לפי מגיש התביעה מלין, נמסר לו מהבנק כי "בסך הכול דלף מידע שהכיל שם וכתובת". הבנק טוען כי נשלחו ללקוחות מכתבים בדבר הפריצה, ואולם מלין טוען כי לא קיבל מכתב כזה.

מבנק ירושלים נמסר בתגובה: "בנק ירושלים דיווח בעבר על פריצה של גורמים העוינים את ישראל לאתר מידע בניירות ערך, הנפרד מהאתר המרכזי של הבנק. האתר שנפרץ הכיל מידע בלבד בתחום ניירות הערך, והורד מרשת האינטרנט ביוזמת הבנק.

"מדובר באתר מידע בלבד, שלא היה ניתן לבצע בו פעולות, ולא נגרם נזק ללקוחות. בחשבונות הלקוחות לא בוצעו פעולות שאינן מורשות. מדובר בפעילות גורמים אקטיביסטים העוינים את ישראל השייכים לארגון אנונימוס. הפעולה בוצעה מחוץ לגבולות המדינה.

"למרות הטענות בכתב התביעה, בנק ירושלים ביצע פעולות לאחר דליפת המידע, ובין היתר הוציא הודעה ללקוחות החברה ודיווח על המקרה לבורסה באופן מיידי". עוד נמסר מבנק ירושלים כי לאחר המקרה אופסו הסיסמאות, והלקוחות נתבקשו שלא לשחזרן.

מהרשות להגנת הפרטיות נמסר: "הרשות קיימה הליך פיקוח בבנק ירושלים לאחר אירוע שבו דלף מידע אישי רגיש. של הלקוחות בהליך הפיקוח נקבע כי אף שהבנק קבע סדרי ניהול מאגר המידע ונהלי אבטחת המידע — הנהלים לא יושמו בפועל. בנק ירושלים התחייב לשורת פעולות וצעדים לתיקון הליקויים".

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker