«  העיתונאי אלי לנדאו נפטר – מייסד אתר זה – READ IT NOW
  • Read IT Now
  • חדשות
  • אבטחת מידע/סייבר
  • הוגשה תביעה (ובקשה לאשרה כתובענה ייצוגית) בגין אירוע ההאקינג האנטי-ישראלי הגדול בחמישי האחרון; היקף התביעה הקבוצתית: 250 מיליון ₪

הוגשה תביעה (ובקשה לאשרה כתובענה ייצוגית) בגין אירוע ההאקינג האנטי-ישראלי הגדול בחמישי האחרון; היקף התביעה הקבוצתית: 250 מיליון ₪

16:02 24.05.2020

קטגוריות: אבטחת מידע/סייבר אינטרנט משפט

תגים: ,

לבית-המשפט המחוזי בתל אביב הוגשה ביום ראשון (24.5.2020) תביעה (ובקשה לאשרה כתובענה ייצוגית לפי החוק להגנת הצרכן) בגין אירוע ההאקינג ביום חמישי האחרון; היקף התביעה הקבוצתית: 250 מיליון ₪.

התובע בתיק זה הוא אורי פרץ, שהינו בעל שלושה אתרים (לממכר מתנות אישיות, לממכר ספרי צביעה ואתר נוסף הנמצא בשלבי הקמה) המאוחסנים בתשלום בשרתי הנתבעת uPress מאז חודש ינואר 2020.

הנתבעת היא חברת דרוביט רייד בע”מ, חברה ישראלית המתמחה באחסנה, אבטחה וגיבוי של אתרי WordPress. “לפי הנתונים שהיא מציגה באתרה, מאוחסנים אצלה למעלה מ- 50 אלף אתרים”.

בין היתר מתבקש בית-המשפט להשתמש בסמכותו ולהורות “לחייב את הנתבעת בצו עשה לפרסם את דבר פירצת האבטחה ואופן ההתגוננות בפניה וכן לרשות את מאגרי הידע שברשותה אצל הרשות להגנת הפרטיות כדין” וכן “לשלם לתובע את סכום הנזק שנגרם לו בגין הפרות הדין והנזקים שנגרמו לו, בתוספת הפרשי הצמדה וריבית כחוק”.

בכתב הטענות נאמר בין היתר כי “[…] כיום, עם התפתחות עולם האינטרנט, עולם המסחר והמידע המסורתי עבר לרחבי הרשת, וכך אנשים רבים מתפרנסים מאתרי אינטרנט, בייחוד על רקע משבר קורונה”.

“[…] כאשר מעוניינים להקים אתר שכזה, על בעל העסק להתקשר עם חברת אחסנת אתרים לאחסנת האתר. חברת האחסנה מטבעה היא מציעה שטחי אחסון על גבי השרתים אולם היא מנהלת. השירות כולל גם את אבטחת האתר וגיבויו.

“השירות הנ”ל הוא שירות הניתן בתשלום מלא ומדובר בעיסקה לכל דבר בין בעל האתר לבין חברת האחסנה. אשר על כן, הציפייה הסבירה של כל בעל אתר מאת החברה המאחסנת היא בשתי פנים: שחברת האחסנה תשמור על האתר על גבי שרתיה וכן שתאבטח ותגבה את האתר. ואכן אלו הם השירותים אשר מציעה הנתבעת”.

בהמשך כתב התביעה נאמר כי “[…] הנתבעת פשעה בבסיס השירות שהיא מציעה והוא אבטחת האתרים. הנזק שנגרם לאתרים הוא עצום הן בפגיעה הכספית בחיי המסחר של העסק ביום הפריצה והן במוניטין האתר ביכולת השמירה שלו על פרטי לקוחותיו, כאשר לקוחות פוטנציאליים נכנסו וראו את התקיפה, וכן הנזק לדירוגו של האתר. נזק זה קשה לתקנו למשך תקופה ארוכה”.

עוד נאמר בכתב הטענות כי אתרים שאוחסנו אצל הנתבעת נפרצו, חלקם הושבתו ליממה וחלקם ליותר מכך, עקב רשלנותה של הנתבעת שלא דאגה לסטנדרטים מינימליים של אבטחת אתרים” זאת כאשר חברת יופרס “נותנת שירותי אבטחה ומציגה את עצמה כאתר מן השורה הראשונה אשר מאובטח ומנוהל על-ידי טובי המומחים”.

בהמשך מפרט כתב התביעה את שאירע ב- 21.5.2020 כאשר בסביבות השעה 05:00 נפרצו שרתי יופרס ובמקום התוכן הרגיל של האתרים המאוחסנים הופיע תוכן הקורא להשמדת מדינת ישראל.

“בעמוד היוטיוב שבו שותף הסרטון שהוטמע באתרים השונים נכתב כי ‘אנחנו מתקבצים כאן כדי לנקום בפשעי הציונים נגד הפלסטינים שמתו או איבדו את חייהם, משפחותיהם ואדמותיהם. מה שאנחנו יכולים לעשות זה לנקום מרחוק באמצעות מתקפות סייבר”.

לדברי התביעה, רק בשעה 15:00 בצהריים הבינו בחברת יופרס את הבעייה ורק לאחר יום שלם הוחזרו חלק מהאתרים.

“המומחים השונים אשר בחנו את האירוע הצביעו על ‘רשלנות חמורה ביותר של יופרס אשר הביאה ברשלנותה לפריצה ולנזקים הקשים אשר אירעו בעקבותיה’. הרשלנות, לדברי המומחים השונים, נבעה מכך שיופרס לא דאגה לעדכן את גירסת שרתיה, דבר אשר היה מונע את הפריצה.

“המומחים הצביעו על כך שלא מדובר בפריצה מתוחכמת אלא בפריצה פשוטה מאוד אשר מצביעה על רשלנות רבתי”.

לכתב התביעה צורפו כנספחים כתבות בהקשר זה מ- YNET וכן כתבה של רן בר-זיק מ”הארץ”.

כתב התביעה גם מצטט דברים מדף הפייסבוק של Mikel Angel המתואר כמומחה לאבטחת אתרים ומנהל קבות הפייסבוק ‘קידום אתרים SEO ואבטחת אתרים’. בדף הפייסבוק שלו הוא העלה מספר תהיות כמו מדוע לקח יום שלם לבצע שיחזור של האתרים; מדוע רק אחרי 15:00 הבינו תקלה שהחלה בשעה 05:00; למה האתר הראשי לא נפל ורק אתרי הלקוחות; האם זה יכול לקרות שוב וכו’. “בסיומו סיכם כי ‘הבעייה לא אירעה כתוצאה בש בעייה באתרים או במערכת או בשרתי האחסון שלהם אלא הבעייה הייתה בחוסר ידעה מקצועי ונקיטת פרוטוקול Disaster Recovery ועמידה ב- 27001 שאם קיים אזי פגום ספציפית להם”.

בהמשך כתב הטענו נאמר כי “[…] הנתבעת לא שלחה כל הודעה לתובע או למשתמשים אודות התקלה או מהותה או הדרכים בהן היא מתכוונת להתגונן מפני פריצה נוספת. כמו כן, לא הוצע לתובע או למשתמשים כל פיצוי עקב הנזק שנגרם לו עקב רשלנותה של הנתבעת”.

נקודה מעניינת נוספת שמעלה כתב התביעה היא ש”הנתבעת אוגרת פרטים אישיים ופרטי אשראי […] נכון ליום הגשת בקשה זו, הנתבעת לא רשמה את מאגריה. בדיקה פשוטה ברשם מאגרי המידע מעלה כי לא נרשם כל מאגר על שם הנתבעת [לכתב התביעה צורף אישור לכך מאתר הרשות להגנת הפרטיות במשרד המשפטים]. “היעדר רישום מאגר מידע בניגוד לחוק מבהיר בצורה ברורה את יחסה המזלזל של הנתבעת בכל הנוגע לאבטחת המידע אודות משתמשיה ומסביר את הסיבה שאותם משתמשים נמצאים בסיכון רב עקב רשלנות פושעת זו”.

בסוף כתב הטענות התובע מבקש כי “מלבד הפיצוי הכספי, התובע עומד על כך שיינתן ‘צו עשה’ אשר יחייב את הנתבעת לקיים את הוראות ההסכם עימו לנהלי בטיחות מלאים וכן לפעול עפ”י דין ולרשות את מאגר המידע אצל הרשות להגנת הפרטיות”.

התביעה הוגשה באמצעות עו”ד צבי מנדלסון.

[הערה: כל ההדגשות בידיעה זו מופיעות כך במקור].

* הידיעה פורסמה לראשונה בחלון המבזקים של האתר היום בשעה 15:02.