מתפרסם מאז שנת 1999
ייצוגית חדשה נגד סייברסרב אינטרנט ותקשורת ומכון מור: “בקשה זו נולדה נוכח מחדלי אבטחה חמורים אשר בגינם דלפו פרטיהם של מאות אלפי לקוחות”
ב- 15 באפריל 2022, פירסמתי כאן באתר ידיעה שכותרתה: פריצת ההאקרים ל- סייברסרב/אטרף: הוגשו 2 ייצוגיות (ולא אחת, כפי שפורסם בשעתו); התביעה השנייה – שדבר קיומה מתפרסם לראשונה, כאן – בהיקף קבוצתי של 250 מלש”ח.
היום, בנפרד, אני מפרסם ידיעה שכותרתה: בעקבות פריצת האקרים איראניים [BlackShadow] לחברת סייברסרב המפעילה את אתר ההיכרויות אטרף לקהילת הלהט”ב: הוגשה לבית-המשפט בקשה לאישור הסדר פשרה.
= = = = = = = = = = = = = = = = =
לבית-המשפט המחוזי מרכז-לוד הוגשה ב- 20.4.2023 תביעה (ובקשה לאשרה כתובענה ייצוגית) נגד חברת סייברסרב אינטרנט ותקשורת בע”מ ונגד מור – המכון למידע רפואי בע”מ [המספק שירותי רפואה במגוון תחומים ויש לו 27 מרכזי שירות בפריסה ארצית, מוקדי שירות ומרפאות מומחים].
התובע בתיק זה מוגדר כ”פלוני”, הנמנה על לקוחות מכון מור וסייברסרב. “מכון מור איחסן את שרתיו אצל סייברסרב. בין המידע נכלל מידע רפואי, המוגדר מידע ‘רגיש’ עפ”י חוק הגנת הפרטיות. חלק מהמידע האישי של המבקש דלף: בין היתר שמו ומשפחתו, כתובת הדוא”ל שלו, מספר הטלפון וכמובן העניין הרפואי של המבקש”.
בכתב הטענות נאמר בין היתר כי “בקשה זו נולדה נוכח מחדלי אבטחה חמורים אשר בגינם דלפו פרטיהם של מאות אלפי לקוחות של חברת סייברסרב ושל מכון מור.
“כפי שיפורט בבקשה זו, הנתמכת בחוות דעת מומחה סייבר, סייברסרב כשלה בלאבטח את המידע האישי של מאות אלפי לקוחותיה. על זאת תוך רשלנות רבתי ותוך הפרת פרטיותם.[הערת עורך Read IT Now: בכתב התביעה לא צויין שמו של מומחה הסייבר ובמערכת “נט המשפט” לא פורסמה חוות הדעת המלאה].
“[…] עוד דלף מידע השייך לחברת LockerAmbin – חברת הפעלת לוקרים (תאי אחסון) הנפוצים בבתי-ספר. כך דלפו להם פרטיהם של כ- 500,000 קטינים, ובכלל זה כתובות הקטינים, שמות ההורים, דוא”ל, מספרי טלפונים ניידים ונייחים.
“[…] זאת ועוד, נחשפו פרטים רבים נוספים, מסוכנויות נסיעות, מרדיו 103FM, מרדיו 104.5FM, מחברות ציבוריות כגון ‘קווים’ ו’דן’ וכן מאתר ‘אטרף’. בין הפרטים שדלפו: סיסמאות, שמות מלאים, תאריכי לידה, כתובות, מספרי טלפונים, כתובות דוא”ל ועוד.
“חמור אף יותר, וכמפורט בחוות הדעת, לאחר שידעה סייברסרב על מחדל האבטחה ודליפת הנתונים, היא פירסמה הודעה כללית ללקוחותיה רק לאחר שבוע מיום הפריצה. ודליפת הנתונים, היא פירסמה הודעה כללית ללקוחותיה רק לאחר שבוע מיום הפריצה. הודעת סייברסרב המאוחרת, אינה מתיישבת עם חובת תום הלב החלה עליה, לא כל שכן המשיבה כלל לא לקחה אחריות על האירוע. מערך הסייבר הלאומי, הרשות להגנת
הפרטיות וכן חברת האחסון נטוויז’ן, כולם הזהירו את המשיבה על אבטחת המידע הלקוייה שלה, עוד טרם הפריצה.
“ביום 3.11.2021 דרשה הרשות מסייברסרב להודיע באופן אישי לכל מי שהמידע אודותיו דלף או קיימת אפשרות שדלף, מה הם הנתונים שדלפן ומה הפעולות המומלצות שעליה לנקוט כדי למזער נזקים. אלא שגם את חובה זו לא מילאה המשיבה, כאשר המבקש, למשל, כלל לא קיבל עידכון מהמשיבה כי פרטיו דלפו.
“באשר למכון מור, עד מועד הגשת בקשה זו, לא יצר אף הוא קשר עם המבקש ויתר לקוחותיו כדי לפרט על דליפת המידע והמידע הרפואי שדלף”.
בכתב התביעה מצויין כי בקשת אישור דומה מתנהלת נגד חברת סייברסרב “אולם מדובר בשתי קבוצות שונות לחלוטין”. התביעה הראשונה היא בקשה לאישור תובענה ייצוגית מאוחדת שעליה פירסמתי ידיעה לפני שנה.
“בקשת האישור אטרף [כלומר, התביעה הראשונה מלפני שנה] אינה מייצגת את מלוא הנפגעים מדליפת המידע שנבעה מפריצה לשרתי המשיבה, ובכלל זה את המבקש ודומיו, אשר היו לקוחות חברות שונות אחרות שפרטיהם אוחסנו אצל המשיבה. יובהר ויודגש כי בקשת אישור זו אינה מייצגת את מנויי אתר ההיכרויות ‘אטרף’, ולפיכך בקשת אישור זו היא בקשה נפרדת ועומדת בפני עצמה לגבי חברי הקבוצה שלא נכללים בבקשת האישור הקודמת”.
בין היתר נאמר בכתב הטענות כי “[…] על-פי פרסומים, הפורצים ניהלו גם מו”מ עם סייברסרב וכן פירסמו התכתבויות, לפיהן החברה הסכימה לשלם מיליון דולר תמורת אי פרסום המידע.
“ביום 3.11.2021 הודיעה הרשות כי פתחה בחקירה כנגד החברה בחשד לרשלנות באבטחת המידע טרם התקיפה. הרשות אסרה על החברה להעלות את מערכותיה עד להודעה חדשה”.
כתב התביעה מאזכר “מידע של התובע שדלף (וכן של לקוחות נוספים באותו עמוד). כמובן שהדליפה רק ממכון מור, מכילה מאות אלפי רשומות (כ- 520,000) ומידע רפואי רגיש המכיל פרטים מזהים של כ- 300,000 לקוחות. החומר שדלף ומצוי בידי המומחה, יוגש בצורה חסויה במעטפה לבית-המשפט הנכבד”.
בהמשך כתב הטענות נאמר כי “סייברסרב ניסתה להסיט תשומת הלב ולטעון כי מדובר בפיגוע איראני. אולם טענה זו – טוב היה אלמלא הועלתה. זהות התוקפים אינה רלבנטית במקרה זה, אלא ההגנות והפעולות שהפעילה ו/או לא הפעילה החברה”.
[הערה: כל ההדגשות בידיעה זו מובאות כך בדיוק בטקסט המקורי של כתב התביעה].