מתפרסם מאז שנת 1999
בית-המשפט דחה בקשה של מפעילת כביש 6 לסלק על הסף תביעה (ובקשה לאשרה כתובענה ייצוגית) נגדה בנושא של פרצות אבטחה לכאורה
בית-המשפט המחוזי מרכז-לוד פירסם ב- 1 בינואר 2020 החלטה בה דחה בקשה של חברת דרך ארץ הייווייז (1997) בע”מ, מפעילת כביש 6, לסלק על הסף תביעה (ובקשה לאשרה כתובענה ייצוגית) נגדה בנושא של פרצות אבטחה לכאורה. ידיעה על הגשת התביעה ובקשת האישור פירסמתי כאן באתר ב- 31.8.2018.
כבוד השופטת איריס רבינוביץ ברון כותבת בין היתר בהחלטתה מתחילת השנה:
“בפניי שלוש בקשות שהוגשו על-ידי הצדדים: בקשה לסילוק על הסף של הבקשה לאישור, אשר הגישה המשיבה לבקשת האישור [דרך ארץ הייווייז], וכן שתי בקשות שהוגשו ע”י המבקשים בבקשת האישור [שי וייסמן ואהוד מזרחי]. האחת, בקשה לצירוף חוות דעת והשנייה, שהוגשה לאחר דיון קדם המשפט, בקשה לתיקון הבקשה לאישור תובענה ייצוגית.
“הבקשה לאישור הוגשה ע”י המבקשים כנגד דרך ארץ, החברה המפעילה את כביש 6. לפי הנטען בבקשת האישור, המבקשים עושים שימוש מעת לעת בכביש 6. באוגוסט 2018 נתגלו פרצות אבטחה במסד הנתונים שמחזיקה ומתחזקת המשיבה, באופן שלקוח הנכנס לצפות בחשבונית שלו, יכול באמצעות שינוי בהקשת הנתונים, לבחור חשבונית אחרת ולהציגה, שם ייחשף לפרטי הלקוח (האחר) כולל פרטי שמו, עלות חשבונית, מועד נסיעה ומספר תעודת זהות. הפירצה התגלתה ע”י לקוח בשם נועם רותם וכתבה בנושא פורסמה בעיתון The Marker. בכתבה אף צויין כי המשיבה מסרה שהתקלה תוקנה.
“עוד נטען כי המשיבה שולחת חשבוניות-דרישות תשלום בדואר רגיל ומפורטים בהן פרטים הכוללים” שם לקוח, מס’ ת.ז., מספר רכבו, כתובתו ומספר חשבונית וכן מועדי נסיעה ושימוש ברכב, מקום הנסיעה וגובה התשלום.
“[…] הבקשה לאישור עניינה טענות להפרה של הוראות חוק הגנת הצרכן, תשמ”א – 1981, ותקנות הגנת הפרטיות (אבטחת מידע), תשע”ז – 2017; ביצוע עוולות של הטעייה אי גילוי נאות, רשלנות והפרת חובת חקוקה; וכן לקיומה של עילת עשיית עושר ולא במשפט.
“[…] במסגרת הבקשה לסילוק נטען כי עיון בבקשת האישור מלמד כי מדובר בבקשה המבוססת על אירוע חד-פעמי שתוקן, מבלי שיש בפי המבקשים טענה כי נגרם למי מהם כל נזק כתוצאה מפירצת האבטחה שתוקנה. מדובר בבקשה לאישור שכולה נוגעת לעניין תיאורטי ואקדמי שאין להיעתר לה. עוד צויין כי בבקשה לאישור נטען, ללא כל חוות דעת, כי יש לחייב את המשיבה לשנות את התנהלותה לעתיד כד למנוע פרצות אבטחה נוספות. לפיכך, הבקשה לאישור באה בגדר המקרים החריגים שבהם יש להיעתר לבקשה לסילוק על הסף”.
השופטת בוחנת בהחלטתה את כל שלוש הבקשות שהונחו בפניה וקובעת, בסופו של דבר, כי היא דוחה את בקשת הפסילה על הסף של התביעה כפי שביקשה חברת דרך ארץ.
באשר לשתי הבקשות של המבקשים [הבקשה להוספת חוות דעת והבקשה לתיקון בקשה לאישור תובענה ייצוגית] קובעת השופטת הדברים מתייחסים לאירוע אבטחה שקרה בשנת 2014 וכן לאירוע אבטחה נפרד מחודש יולי 2019 (לאחר הגשת התביעה לבית-המשפט בשנת 2018).
השופטת החליטה שלא להתיר את בקשת האישור לתיקון בקשת האישור המקורית לגבי כתב התביעה בהקשר של אירוע 2019 אולם התירה למבקשים והעניקה להם “רשות להגיש בקשה לאישור מתוקנת, באופן שתכלול התייחסות לאירוע נשוא שנת 2014 בלבד ותצורף לה חוות הדעת מיום 18.2.2019 אשר צירופה התבקש”.
השופטת חייבה את המבקשים בהוצאות של דרך ארץ בסך 2,500 ₪ וזאת כיוון ש”חוות הדעת לא הוגשה עם הבקשה לאישור כפי שראוי היה לעשות והבקשה לאישור לא כללה התייחסות לאירוע הנטען משנת 2014, למרות שלא הייתה מניעה כי המבקשים ילמדו אודות קיומו ככל שהיו פונים לקבלת חוות דעת מבעוד מועד. בנוסף לכך, הבקשה לתיקון הוגשה רק לאחר קיום קדם משפט”.
= = = = = = = = = = = = = =
ב- 31.8.2018 פירסמתי כאן באתר את הידיעה הבאה:
לבית-המשפט המחוזי מרכז בלוד הוגשה היום (31.8) תביעה (ובקשה להכיר בה כתובענה ייצוגית) נגד חברת חברת דרך ארץ הייווייז 1997 בע”מ (מפעילת כביש 6) בעקבות פרצות אבטחה במסד הנתונים שלה כפי שנתגלו ע”י נועם רותם ופורסמו ע”י אמיתי זיו בדה מארקר
התובעים בתביעה זו הם שי וייסמן ואהוד מזרחי. בכתב התביעה נאמר בין היתר כי “במהלך 8/18 נתגלו פרצות אבטחה במסד הנתונים אשר מחזיקה ומתחזקת הנתבעת. זו נותנת גישה קיברנטית לכל לקוח משתמש, בעצם לכל לקוח כיום או בעבר אשר קיבל דרישה לתשלום/חשבונית מס, היה באפשרותו להיכנס דרך מחשב, טבלט או טלפון נייד לאתר החברה הנתבעת. לאחר הקשה על תשלום חשבונית, באמצעות הקלדת מספר תעודת זהות ומספר חשבונית, נכנס הלקוח לעמוד תשלום החשבונית שלו. באמצעות שינוי הקשה על היסטוריית תשלומים ושינוי מספר סידורי בשורת הכתובת, יכול כל לקוח לבחור חשבונית אחרת ולהציגה, שם להיחשף לכל פרטי הלקוח, קרי: שם פרטי ושם משפחה, עלות חשבונית, מועד נסיעה עד לרמת השעה, הדקה והשניה, מקום נסיעה ומספר ת.ז. פירצה זו – שהייתה פתוחה לכל דכפין במשך שנים – תוקנה כפי הנראה. ייתכן ויתגלו פרצות נוספות שידרשו תיקונים נוספים.
“יודגש, פירצה זו לא נתגלתה ע”י הנתבעת אלא ע”י משתמש נועם רותם, אשר בראיון לאמיתי זיו מ- TheMarker ביום 29.8.2018 אמר: ‘קיבלתי חשבונית מכביש 6 וכשנכנסתי לאתר נחרדתי לגלות שבקלות יחסית אפשר לראות את כל החשבוניות ופירוט הנסיעות של משתמשים אחרים’.”
“… כיוון שהפירצה הראשונה עפ”י הסדר הייתה כה בוטה וגלוייה, הדבר תוקן ככל הנראה באמצעות הוספת מודולים/קוד ו/או שינויים בקוד עצמו. כך מסרה הנתבעת ל- TtheMarker בתגובה באותה כתבה … למעשה הנתבעת הודתה בתגובתה בתקלה ובפירצת האבטחה, כמו גם באחריותה לתחזק ולתקן פרצות אבטחה, והודיעה שהפירצה תוקנה”.
בהמשך כתב הטענות נאמר כי “אין חולק כי הנתבעות היטעו באופן בוטה את לקוחותיהן בעניין מהותי ביותר בעיסקה בכך שגרמו להם לחשוב כי פרטיהם ונתוניהם בטוחים ומאובטחים בסטנדרט הנדרש על פי דין. אלא שבפועל המציאות הפוכה לכך: בעצם, כל דכפין יכול היה לטייל ולשוטט במאגרי המידע של הנתבעת תוך שהוא מוריד ומדפיס נתונים למחשב או למכשיר שלו ככל שחפץ ליבו.
“… תעריפי הנתבעת הגבוהים ממילא ומתעדכנים פעמיים בשנה, כוללים וצריכים לכלול גם את אחזקת מסד הנתונים באופן אופטימלי, או לפחות תקין. מכאן יוצא כי הנתבעת בהתרשלותה הפושעת גרפה לזכותה כספים בלי שהיא מעניקה שירות מלא וראוי לתובעים”.
התביעה הוגשה באמצעות עו”ד מוטי-מרדכי דזנה.
[כל ההדגשות המופיעות כאן מופיעות באופן זהה בטקסט המקורי].
= = = = = = = = = = = = = =