בעקבות פריצת האקרים איראניים [BlackShadow] לחברת סייברסרב המפעילה את אתר ההיכרויות אטרף לקהילת הלהט”ב: הוגשה לבית-המשפט בקשה לאישור הסדר פשרה

ב- 15.4.2022 פירסמתי כאן באתר ידיעה תחת הכותרת: פריצת ההאקרים ל- סייברסרב/אטרף [10/2021]: הוגשו שתי תובענות ייצוגיות (ולא אחת, כפי שפורסם בשעתו); התביעה השנייה – שדבר קיומה מתפרסם לראשונה, כאן – היא בהיקף קבוצתי של 250 מיליון ₪.

בידיעה עצמה נאמר כי “בחודש נובמבר 2021 פורסם דבר הפריצה לאתר של חברת סייברסרב המפעילה את אתר ההיכרויות אטרף לקהילת הלהט”ב.

בעקבות האירוע, מספר אתרי חדשות וכלי תקשורת פירסמו ידיעות לגבי הגשת תביעה (ובקשה לאשרה כתובענה ייצוגית לפי חוק הגנת הצרכן) בידי “פלונית” (באמצעות עו”ד ליאור חאיק) כנגד החברה.

“[…] כידוע, בסוף חודש אוקטובר 2021, קבוצת האקרים (פצחנים) [BlackShadow] פרצה לאתר המשיבה והעתיקה את כל מאגר המידע על המשתמשים או לפחות את רובו, ופירסמה אותו ברחבי המרשתת. בתחילה ההאקרים פירסמו מאגר מידע של אלף משתמשים בלבד ולאחר שדרישותיהם ל’כופר’ לא נענו והאולטימטום שהציבו פג, פירסמו את כל מאגר המדע על כלל המשתמשים, המוערך במיליון איש, ובכך נגרמו לחברי הקבוצה נזקים גדולים מאוד ובלתי הפיכים.

“בפועל, מידע אישי ורגיש רב דלף לרשת האינטרנט וההשלכות של הדבר ברורות. המחדל של המשיבה והרשלנות שמאפיינת את התנהגותה גרמה לכך שמאגר המידע דלף”, נאמר באותה תביעה ראשונה.

ואולם, מעקב של Read IT Now אחר ההחלטות בתיק זה באמצעות מערכת “נט המשפט” של הנהלת בתי-המשפט (הב”ה) לאחרונה העלה כי הוגשה תביעה נוספת, נפרדת, בגין האירוע וכי דבר קיומה של התביעה השנייה (בהיקף קבוצתי של 250 מיליון ₪) לא פורסם עד כה. זאת למרות שכתב התביעה המלא מופיע ב”נט המשפט” ועיקריו מופיעים בהמשך ידיעה זו. יצויין כי לגבי האירוע הוגשה בקשה לאחד את הדיון בשני התיקים הללו, כפי שיפורט בהמשך.

התביעה השנייה הוגשה בידי “פלוני” באמצעות עוה”ד רועי בלכר ושלמה דוידוביץ [ממשרד עורכי הדין קריספין, רובינשטיין, בלכר ושות’].

התביעה היא נגד סייברסרב אינטרנט ותקשורת בע”מ ו- סי קהילות אינטראקטיביות בע”מ, שתיהן מקרית ביאליק. משיב פורמלי שצויין בכתב התביעה הוא מערך הסייבר הלאומי.

“[…] מדובר בסיוט שהתגשם עבור משתמשי האתר, כחצי מיליון איש לערך. לא פחות”, נאמר בכתב התביעה.

במסגרת הבקשה לאישור התביעה כתובענה ייצוגית התבקש בית-המשפט לקבוע בין השאר כי “המשיבות הפרו את חובותיהן כלפי לקוחותיהן, בכך שהמשיבות אספו מידע על לקוחותיהן, מבלי לנקוט באמצעי הזהירות הנדרשים כדי להגן על שמירת המידע אצלן; המשיבות איפשרו במחדליהן וברשלנותן את פריצת האתר וחשיפתם של פרטים אישיים של לקוחות המשיבות; המשיבות לא דיווחו ללקוחותיהן על הפריצה לאתר ולא שיתפו עם לקוחותיהן מידע בנושא”.

בית-המשפט גם התבקש “להורות למשיבות לנקוט בכל הצעדים הנדרשים כדי להגן על

לקוחותיהן מפני שימוש לא מורשה במידע שדלף מהאתר; להורות למשיבות למסור הודעות ללקוחותיהן שפרטיהם דלפו;  להורות למשיבות כי מעתה ואילך עליהן להגן על המידע המצוי אצלן תוך עמידה בכל דרישות גורמי אבטחת המידע השונים, ובכלל זה לעמוד בדרישות מערך הסייבר הממשלתי במשרד ראש הממשלה; להורות למשיבות לפרט בדבר האמצעים שיינקטו על-ידן כדי למנוע הישנות של מקרה חמור בכגון דה”.

בית-המשפט גם התבקש להורות על דיון בדלתיים סגורות ומתן צו איסור פרסום על פרטיו המזהים של המבקש.

כתב הטענות מדגיש כי “המשיבות התעלמו משורה של גורמי מקצוע שהתריעו בפניהן על חולשות מהותיות באבטחת המידע אצלן”. בין הגורמים הללו: מערך הסייבר הלאומי [“גוף ממשלתי ביטחוני-אזרחי, האחראי על הגנת מרחב הסייבר הלאומי האזרחי של מדינת ישראל”].

התביעה השנייה הוגשה במקור לבית-המשפט המחוזי בחיפה כיוון שמקום פעילות שתי הנתבעות הראשיות הוא בקרית ביאליק. בהמשך, בחודש ינואר 2022, התביעה הועברה לבית-המשפט המחוזי מרכז-לוד, לשם הוגשה במקור התביעה הראשונה.

עפ”י בדיקה של Read IT Now, התביעה השנייה הוגשה למחוזי בחיפה ככל הנראה יום לפני שהוגשה התביעה הראשונה למחוזי מרכז-לוד. בכל אחת מהתביעות צויינו התובע/ת כ”פלוני/ת”.

אלא שבעוד במחוזי מרכז-לוד התביעה התקבלה באופן זה ללא בעיות נראה כי במחוזי חיפה סירבו לקבל תביעה כשהתובע הוא “פלוני” ולא מצויין בשמו.

אשר על כן, למחרת היום הוגשה התביעה מחדש כשהפעם מצויין השם המלא של התובע אולם הוא הושחר ונוספה גם בקשה לאיסור פרסום שם התובע. אז התקבלה התביעה במזכירות בית-המשפט המחוזי בחיפה כמקובל.

לאחר שהתברר כי בתוך כך הוגשה תביעה אחרת בנושא זה [מה שכיניתי כ”תביעה הראשונה”, ע”י עו”ד חאיק] הוגשה בקשה להעברת הדיון בה למחוזי מרכז-לוד.

ביום 12.4.2022 התקיים בבית-המשפט המחוזי מרכז-לוד דיון בפני כבוד השופטת איריס רבינוביץ ברון לגבי שני התיקים הללו – דיון בבקשה עפ”י סעיף 7 לאיחוד הדיון בשתי התובענות הנפרדות. ניכר היה כי השופטת אכן מעדיפה שתהיה בקשה אחת ולא שתי בקשות נפרדות, כפי שהמצב הינו עד כה. עורכי הדין ביקשו מבית-המשפט וקיבלו ארכה לתקופה בת חודש ימים כדי להחליט ולהודיע האם הם מסכימים על איחוד הבקשות ומי מביניהם יוביל בבית-המשפט את הבקשה האחודה, ככל שתהיה.

כפי שציינתי בידיעה זו, לתביעה צורף מערך הסייבר הלאומי כמשיב פורמלי”.

= = = = = = = = = = = = = = = = = = = = =

עפ”י “נט המשפט” של הנהלת בתי-המשפט (הב”ה), בסוף ינואר 2023 הוגשה לבית-המשפט המחוזי מרכז-לוד בקשה לאשר הסכמות הצדדים בהסדר הפשרה שגובש בין המבקשים – פלונית ופלוני – לבין סייברסרב אינטרנט ותקשורת. עפ”י החלטת בית-המשפט, פורסמה בסוף מארס 2023 מודעה בתשלום בשני עיתונים יומיים לגבי הצעת הסדר הפשרה.

בבקשה נאמר בין השאר כי “ביום 28.10.2021 הותקף אתר אטרף בידי ארגון האקרים אירניים. במהלך ההתקפה הושמד האתר ומרבית הנתונים שנאגרו בו לאורך תקופת הפעילות. עפ”י טענת המבקשים, קובץ ובו רשומות עם פרטי משתמשים ומידע רגיש אחר, נגזל והופץ וגרם עפ”י הטענה לפגיעה קשה בפרטיות. לטענתם, ההאקרים הפיצו מידע בדבר תכתובות דוא”ל של המשתמשים באתר, העדפות מיניות, העדפות בדבר סוג הקשר, גובה, משקל, נשאות HIV ופרטי מידע נוספים שלא אמורים להיחשף לרבים. עקב זאת טענו המבקשים כי נגרמו לחברי הקבוצה נזקים גדולים מאוד ובלתי הפיכים”.

בתחילת נובמבר 2021 הוגשו תי בקשות נפרדות לאישור תובענות ייצוגיות בהן עלו טענות דומות לפגיעה במשתמשים שפרטיהם הופצו.

שתי הבקשות אוחדו בהמשך בהתאם להחלטת בית-המשפט ובקשה אחת מאוחדת שהוגשה בחודש מאי 2022.

“לטענת המבקשים, החדירה הבלתי-מורשית היא תוצאה של כשלים שנפלו בהתנהגות המשיבה […] אשר תוצאתם חשש אמיתי בקרב חברי הקבוצה כי פרטיהם האישיים, ובכלל זאת עצם חברותם באתר, ייחשפו בציבור”

“[…] בתשובתה הכחישה המשיבה את הטענות שייחסו לה המבקשים. בין היתר, כי התובענה שהוגשה היא בבחינת האשמת הקורבן, כי לא נפל כל פגם בהתנהגות המשיבה, כי המבקשים לא ניסו ולא הצליחו להוכיח כי המשיבה התרשלה או כי לא העמידה באתר אמצעי אבטחה מספקים, ואף נטען כי ההיפך הוא הנכון.

“המשיבה טענה כי מילאה אחר כל התחייבויותיה המופיעות בתנאי השימוש של האתר; סיפקה מערכת הגנה העומדת בסטנדרט המקצועי; והעובדה שנפלה קורבן להתקפת האקרים אינה יוצרת לה חבות כלשהי ובוודאי שאינה מטילה עליה אחריות מוחלטת.

“כמו כן, נטען כי למבקשים לא עומדת עילת תביעה אישית, כי פרטים שהוזנו ע”י נרשמים לאתר אינם מאפשרים במרבית המקרים זיהוי הגורם הנרשם, כי הנטען אודות מידע רגיש שהופץ אינו נכון ואינו מבוסס, כי לא הוכח כל נזק שנגרם למי מחברי הקבוצה וכי יש שוני מהותי במאפייני חברי הקבוצה”.

בדיון בחודש אפריל 2022 המליץ בית-המשפט לצדדים לנהל שיח ביניהם על-מנת לפתור את המחלוקות בתיק “בדרכי נועם ולטובת חברי הקבוצה וכך עשו הצדדים”.

“[…] כמפורט בתשובת המשיבה, כפועל יוצא מהתקיפה, האתר הושמד למעשה ולא ירידת האתר מקבלת המשיבה פניות רבות של משתמשי האתר בעבר על-מנת שתשקם את האתר ותחזיר אותו לפעילות.

“במסגרת הסכם הפשרה הוסכם כי המשיבה תפעל להקמת אתר חדש במקום אתר אטרף שהושמד. להערכת המשיבה הארת החדש יחל לפעול עד 6 חודשים ממועד אישור הסכם הפשרה והמשיבה מתחייבת להשקיע את כל המאמצים כי האתר אכן יוקם בתוך 6 חודשים, כפוף לנסיבות של כוח עליון ו/או בנסיבות שאינן בשליטתה. במסגרת האתר החדש תעניק המשיבה לחברי הקבוצה פיצוי מינימלי בהיקף כולל שאינו פחות מ- 480,000 ₪.

“נוכח היקף המתקפה על האתר ונתוניו, והנזק הכבד שנגרם לבסיס הנתונים אין מנוס מבניית אתר חדש לחלוטין. במסגרת הסכם הפשרה תבנה המשיבה, באמצעות אנשי מקצוע מטעמה המתמחים בתחום הגנת הסייבר, אתר ואפליקציה חדשים לרבות דרישות אבטחה כמקובל וכנדרש וכאשר הם עומדים בסטנדרטים המקובלים לגבי אתרים ואפליקציות בעלי פעילות דומה.

“כך בין השאר:

+ האפליקציה ומערכות הניהול יפותחו בטכנולוגיות הפיתוח העדכניות ביותר בשוק (מערכות הניהול יפותחו בטכנולוגיות דוט-נט של חברת  מיקרוסופט והאפליקציה בטכנולוגיית Flutter  של חברת גוגל) ויכללו עדכוני אבטחה שוטפים של מיקרוסופט וגוגל;

+ מערכות הניהול יפותחו כפרוייקט נפרד ויאורחו על שרת ייעודי שיבודד ויהיה נגיש רק באמצעות רשת VPN מאובטחת;

+ גישת המשתמשים לאפליקציה תכלול טכנולוגיות מאובטחות ואימות סלולרי כמקובל באפליקציות המאובטחות ביותר (אפליקציות פיננסיות, רפואיות וכיוצ”ב);

+ המערכת תתארח בחברת אירוח חיצונית שמתמחה באירוח שירותי ענן מאובטחים ותכלול כלי אבטחה כגון ענן הגנה חיצוני (Cloud Flare), מערכת חומת אש (Firewall) ומערכת EDR של חברת Sophos.

+ לפני עלייתה לאוויר, המערכת תעבור בדיקת חדירות (Penetration Test) ע”י חברת אבטחה חיצונית שמתמחה בבדיקות חדירות ומלווה את חברת סייברסרב בתחום זה”.

= = = = = = = = = = = = = = = = = = = = =