מתפרסם מאז שנת 1999
ייצוגית נגד MyHeritage בהיקף קבוצתי של 100 מיליון ₪ בגין דליפת מידע הסתיימה לאחר שלוש שנים בהסכם פשרה
ב- 27 במארס 2020 פירסמתי כאן באתר ידיעה שכותרתה: תובענה ייצוגית (בהיקף קבוצתי של 100 מיליון ש”ח) נגד MyHeritage בשל דליפת פרטים אישיים וגירסת הסיסמה המוצפנת של המשתמשים וכי הללו נסחרים ב- DarkNet [מידע המפורט ומודגם בנספח חסוי של כתב התביעה]. התובע בתיק זה [ת”צ 40923-03-20] הוא סנדי אלכסנדר פרנג’י.
= = = = = = = = = = = = = = = = =
ב- 9 במארס 2023 ניתן פסק דין בתיק זה וכבוד השופטת אסתר נחליאלי חיאט כתבה בין היתר בפסק הדין:
“בקשה לאישור הסדר פשרה בתובענה ייצוגית בסוגייה רגישה ואקטואלית שעניינה הגנה על הפרטיות והשימוש במידע האישי הנרחב המצוי במאגרי מידע”.
“ביום 27.10.2017 אירעה ‘תקרית אבטחה’ בשרתי המשיבה [חברת מיי הריטג’] במסגרתה הועבר מידע של לקוחות שנשמר בשרתי המשיבה לשרת חיצוני. תקרית האבטחה כאמור אירעה בעקבות התקפת פצחנים (האקרים) על שרתי המשיבה.
“מתצהיר של גלעד יפת, מייסד ומנכ”ל המשיבה, עולה כי ביום 4.6.2018, כשנה וחצי לאחר שאירעה הפריצה נודע לקצין אבטחת המידע של החברה ‘על כך שאותר בשרת פרטי חיצוני קובץ בשם ‘MyHeritage’, הכולל כתובות דוא”ל וסיסמאות מוצפנות של משתמשים, שהיו רשומים לשירות החברה נכון ליום 26.10.2017.
“בסמוך לאחר שנודע למשיבה על אירוע האבטחה, היא פירסמה – בבלוג שהיא מפעילה – הודעה לציבור בעניין הפריצה שאירעה. כפי שעולה מנוסח הודעה זו, המשיבה בדקה מהו המידע שדלף במסגרת הפריצה והסיקה כי ‘המידע שנחשף מוגבל רק לכתובות דוא”ל, לסיסמאות מוצפנות ב- Hash ולמועד רישום המשתמש לפלטפורמה’.
“לאחר שאירעה הפריצה, נקטה המשיבה במספר צעדים מתקנים וכן יידעה את המשתמשים אשר לפריצה שאירועה […] נוסף על האמור, נעזרה המשיבה בחברה חיצונית לתחקור האירוע ועידכנה את הרשויות הרגולטוריות בבריטניה, פינלנד, הונגריה, ארה”ב, קנדה, ברזיל וישראל.
“בהמשך, בשנת 2019 פירסם ההאקר ב’רשת האפלה’ (Darknet) נתונים ומידע לגבי לקוחות המשיבה, שהגיעו לידיו במסגרת אירוע הפריצה בחודש אוקטובר 2017”.
לדברי פסק הדין, “ב- 20.10.2020 הגישה המשיבה את תגובתה לבקשת האישור. אף שהמשיבה לא הכחישה את התקיימותו של אירוע האבטחה משנת 2017, ראתה לדחות את טענות המבקש כי לא עמדה בסטנדרט בטיחות המידע הנדרש ממנה על-פי דין. נטען כי ‘אירוע האבטחה שאירע בשלהי שנת 2017 היה מתקפה חסרת-תקדים של אחד מההאקרים … החזקים בהיסטוריה המודרנית על עשרות חברות מובילות בעולם’ ובכלל זה על המשיבה. טענת המשיבה כי לא ניתן להבטיח את המידע ולתת הגנה מוחלטת למידע אך ניתן לעמוד בסטנדרט הגנה סביר על מידע בהתאם להוראות המחוקק והמאסדרים הרלבנטיים, ובענייננו טוענת המשיבה שנקטה באמצעי הגנה מחמירים מאלה שקבע המחוקק.
“המשיבה טענה כי דין בקשת האישור להידחות על הסף מחמת היות המבקש תובע ייצוגי סדרתי שכלל אינו מחזיק בעילת תביעה אישית או יריבות עם המשיבה. נטען כי לבקשת האישור לא צירף המבקש תשתית עובדתית מינימלית התומכת בטענותיו לגבי
עילת התביעה האישית […] עוד נטען כי לא נגרם כל נזק למבקש מכיוון שאירוע אבטחת המידע לא הוביל לחשיפת מידע אישי שלו”.
השופטת אומרת בהמשך פסק הדין כי ב- 23.5.2021 הוגשה לבית-המשפט בקשה ראשונה לאישור הסדר פשרה.
ביום 30.1.2022 הגיש היועץ המשפטי לממשלה הודעה (שנוסחה לאחר התייעצות עם הרשות להגנת הפרטיות במשרד המשפטים ומערך הסייבר הלאומי). “מהודעת היועמ”ש עולה כי ביום 10.6.2018 פתחה הרשות להגנת הפרטיות בהליך פיקוח מינהלי בעקבות אירוע האבטחה נושא בקשת האישור. במסגרת הליך הבדיקה קיבלה הרשות ידיעות שונות ומסמכים מהמשיבה ועל בסיסם החליטה הרשות להגנת הפרטיות ביום 5.8.2018 לסגור את התיק מבלי לקבוע הפרה, ובמקביל הורתה להנחות את המשיבה לתקן ליקויים שהתגלו […] לציין כי הודעת היועץ לא כללה את ההנחיות שניתנו לתיקון הליקויים”.
ב- 28.10.2021 הגישה עמותת פרטיות לישראל (ע”ר) התנגדות לאישור הסדר הפשרה. כפי שעולה מכתב ההתנגדות, מדובר בעמותה שהוקמה בשנת 2020 ע”י קבוצת אנשי ונשות אקדמיה, מהמגזר הפרטי ובכירים לשעבר במגזר הציבורי המוטרדים מ’הפגיעה הגוברת בזכות לפרטיות’. טענתם המרכזית של המתנגדים היא שהסכם הפשרה אליו הגיעו הצדדים אינו ראוי, הוגן או סביר. נטען כי ההסדר המוצע אינו הולם את סיכויי התביעה ובפרט, בשונה מעמדת המשיבה כי לא הפרה את הוראות חוק הגנת הפרטיות או תקנות מאגרי מידע, צורמת העובדה שהחברה לא התקינה הליך אימות דו-שלבי כתנאי להתחברות בפלטפורמה עובר לאירוע הפריצה”.
השופטת אומרת בהמשך כי “לאחר שהונחו בפני בית-המשפט מספר גדול יחסית של עמדות בעלות משקל ביחס להסדר המוצע, ראיתי לשמוע את טיעוני הצדדים בעל-פה. לדיון זה לא התייצבו ב”כ המתנגדים הגם שזומנו וכבר בפתח הדיון קיבל ב”כ היועץ המשפטי לממשלה את הסכמת הצדדים לתיקון הסדר הפשרה המוצע בהתאם להערות שעלו בעמדת היועמ”ש ובעמדת המתנגדים”.
בתוך כך, “ביני לביני הגישה המשיבה ביום 9.11.2022 הודעה אליה צורפה החלטת הרשות להגנת הפרטיות מיום 19.10.2022 לפיה הוחלט לסגור את תיק הפיקוח שנפתח בעניינה בהינתן עמידתה בדרישות הדין בתחום אבטחת המידע. הרשות לא מצאה לנקוט נגד המשיבה בצעד כלשהו והודתה למשיבה על שיתוף הפעולה בבדיקה”.
בהמשך הגישו הצדדים לבית-המשפט בקשה מתוקנת לאישור הסדר פשרה. השופטת ציינה כי קודם לקבלת החלטה בדבר אישור אפשרי של הסכם הפשרה המתוקן, “סברתי כי ‘ראוי למנות בודק שיסייע בידי בית-המשפט לברר את השאלה האם הסדר הפשרה ראוי, הוגן וסביר בהתחשב בעניינם של חברי הקבוצה’ ואכן ביום 11.11.2022 ראיתי למנות בודק להסדר הפשרה – מר אורן אלימלך שזהותו נבחרה מבין שלושה שהומלצו ע”י הצדדים. מחוות הדעת של הבודק עולה שהוא ‘מומחה, חוקר סייבר ויועץ אבטחת מידע עם התמחויות בתחומי פורנזיקה, ביקורת, מימשל תאגידי, רגולציה, תקשורת ומחשוב ענן – עם וותק של למעלה מ- 20 שנות ניסיון’.
“ביום 9.1.2023 הגיש הבודק את חוות דעתו אשר להסדר הפשרה המוצע. לציין כי בהתאם להחלטה מיום 22.2.2023 אישרתי את בקשת המשיבה לחסות חלקים מחוות הדעת הנוגעים לשתי סוגיות נקודתיות בחוות הדעת שאינן מרכזיות לטעמי לצורך בחינת הסדר הפשרה בכללותו”.
“[…] הבודק בחן את נסיבות דליפת המידע וכפי שגם טענה המשיבה, דליפת הנתונים אירעה במסגרת התקפה שהתקיפה קבוצת האקרים את מאגרי המידע של המשיבה. עוד הסתבר כי קבוצת האקרים זו נחשבה ל’אחת מקבוצות התקיפה החזקות ביותר בעולם, אשר שמה לה למטרה לפרוץ לעשרות אתרים מובילים בעולם’.”
“[…] הבודק נתן חוות דעתו לנסיבות הפריצה ולתגובת המשיבה לפריצה. הבודק הדגיש כי ‘אין אתר אינטרנט שאי אפשר לפרוץ אליו’ וכי ההאקרים שתקפו את מאגרי המשיבה היו רבי יכולות בתחומי הפריצות הזדוניות למערכות מידע’.”
בהכרעת השופטת נאמר בין היתר כי “[…] נחה דעתי כי הסדר הפשרה ‘ראוי, הוגן וסביר בהתחשב בעניינם של חברי הקבוצה’, וזאת באספקלריית מאזן הסיכויים והסיכונים הנשקפים לחברי הקבוצה מהמשך ניהול ההליך”.
“[…] אכן, ההסדר המונח לפניי אינו חף מקשיים או מבעיות אך להתרשמותי אין בסך מגרעותיו של ההסדר המוצע כד לעלות על סך התועלת שהוא צפוי להביא לחברי הקבוצה ולציבור הרחב. כדרכו של עולם, הצדדים להסדר המוצע מנסים לתארו כמיטבי וכהסדר ההוגן והראוי ביותר בנסיבות העניין. המתנגדים, מנגד, מדגישים את מגרעותיו של ההסדר. ואכן, כפי שציינתי – ההסדר אינו מושלם”.
“בשנים האחרונות התפתחות טכנולוגיות המידע והאינטרנט מעצבות-מחדש את גבולות הזכות לפרטיות כפי שהיא מוכרת במשפט הפרטי. הפיתוחים הטכנולוגיים בתחום האינטרנט והמחשב הפכו את חיי היום-יום לתלויים במידה רבה בטכנולוגיות מידע שונות. הטלפון הנייד, וליתר דיוק – הסמרטפון, הפך לאביזר חובה לצורך קיום חיי שיגרה במדינה מודרנית מפותחת. המכשיר הנייד המחובר לרשת האינטרנט מייצר בכל רגע נתון כמות גדולה מאוד של נתונים דיגיטליים – מיקומו הגיאוגרפי של המכשיר, היסטוריית הגלישה באינטרנט, אופי השימוש במכשיר ועוד. מידע רב זה המצטבר כשובל אחר חיינו בעידן המודרני-דיגיטלי הוא גם רב ערך: הצלבת הנתונים ופיענוחם מאפשרים ללמוד כמעט הכול על האדם המחזיק במכשיר הנייד, לצורך הדוגמה.
“[…] הצמיחה במספר מאגרי המידע המשמשים לאיסוף מידע רב ביחס לקהל גדול של בני אדם, חייב את המחוקק ומחוקק-המשנה, להסדיר את היחסים בין הפרט ובין אוסף המידע”.
“[…] הבודק הדגיש כי חברות נוספות נפלו קורבן לאותה קבוצת ההאקרים וכי המתקפות שבוצעו ע”י אותה הקבוצה נחשבו בזמן אמת כחדשניות מבחינה טכנולוגית והגם שכך היה בכל זאת ציין הבודק כי המשיבה לא יישמה את כל הבקרות הנדרשות עובר למתקפת הסייבר: ‘מצר אני שהיה לקרות אירוע סייבר בכדי ליישם בקרות אלו’ […] מצד אחד, המשיבה נפלה קורבן למתקפת האקרים מתוחכמים; מצד שני, המשיבה יישמה חלק מבקרות האבטחה הנדרשות בהתאם לנהוג בשוק רק לאחר האירוע”.
באשר לפסיקת ההוצאות לתובע ולבאי כוחו אומרת השופטת כי “לאחר שנתתי דעתי לשיקולים כאמור לא ראיתי לקבל את המלצת הצדדים. תחילה לציין כי לא יכולתי להתעלם מהפער העצום בין הסכום הנתבע בבקשת האישור (כמאה מיליון ₪ (!)) ובין סכום הפיצוי שהוסכם בין הצדדים במסגרת הסכם הפשרה (כמיליון וחצי ₪). כלומר, הפיצוי שיינתן לחברי הקבוצה במסגרת ההסדר הוא כ- 1% מהסעד שהתבקש בבקשת האישור.
“עוד לציין כי לאחר עיון בבקשת האישור לא ניתן שלא לתהות על דלות הבקשה אליה לא צורפה חוות דעת רלבנטית; נתתי דעתי לעריכתה של בקשת האישור כמו גם לניסוחה רצוף השיבושים ולכך שבקשת האישור מפרטת שורה ארוכה של עילות תביעה כנגד המשיבה בלי לבסס תשתית משפטית העשוייה לתמוך בשפע העילות והטענות”.
“[…] מצד שני אומר כי לזכות המבקשים עומדת העובדה כי המבקשים הם הראשונים ש’איתרו’ את עילת התביעה כנגד המשיבה וכי מדובר בבקשה לאישור העוסקת בסוגייה חשובה שיש עניין ציבורי רב בבירורה”.