תובענה ייצוגית (בהיקף קבוצתי של 100 מיליון ש”ח) נגד MyHeritage בשל דליפת פרטים אישיים וגירסת הסיסמה המוצפנת של המשתמשים וכי הללו נסחרים ב- DarkNet [מידע המפורט ומודגם בנספח חסוי של כתב התביעה]

ביום רביעי (25.3.2020) דיווחתי בחלון המבזקים של האתר: מייסד-שותף של חב’ ההזנק Cyabra [המגנה על ממשלות וארגונים ממתקפות של חדשות כזב (Fake News)] הגיש תביעה (ובקשה לאשרה כתובענה ייצוגית לפי החוק להגנת הצרכן) נגד חברת MyHeritage בטענה כי הפרה לכאורה את חוק הגנת הפרטיות והתקנות שהותקנו מכוחו; זאת בעקבות דליפת פרטים אישיים של המשתמשים ודליפת גירסת הסיסמה המוצפנת שלהם לשימוש בפלטפורמה; היקף התביעה הקבוצתית: 100 מיליון ₪.

התובע בתיק זה הוא סנדי-אלכסנדר פרנג’י, מייסד-שותף של חב’ ההזנק Cyabra [המגנה על ממשלות וארגונים ממתקפות של חדשות כזב (Fake News)]. התובע נרשם לפלטפורמה של הנתבעת.

חברת מיי הריטג’ היא “חברת היי-טק ישראלית המפתחת פלטפורמה הכוללת אתר אינטרנט, תוכנת מחשב ואפליקציה לגילוי, שימור ושיתוף היסטוריה משפחתית בטכנולוגיה מתקדמת של הצלבת מידע. עפ”י הפרסומים, משתמשי הנתבעת יכולים לבנות את אילן היוחסין שלהם, לגלות קרובי משפחה חדשים, לחפש קרובי משפחה ב- 9 מיליארד רשומות היסטוריות, לשמר ולשתף מסמכים, תמונות וסרטוני וידיאו”. החברה מעידה על עצמה כי יש לה 109 מיליון משתמשים, 3.8 מיליארד פרופילים וכי בכל יום נוספים 1.7 מיליון פרופילים.

בכתב הטענות נאמר בין היתר כי “התביעה דנא מוגשת בעניין צרכני חשוב מעין כמותו – זכותו הבסיסית והיסודית של הצרכן בישראל כי פרטיו האייים לא ידלפו לצדדי ג’. לא מדובר אך ורק בדליפת פרטיהם האישיים של המשתמשים (לא שיש להקל בכך ראש), כגון כתובת דוא”ל ומועד ההרשמה לשירות הנתבעת, אלא גם בדליפת גירסת הסיסמה המוצפנת (Hashed Password) אשר בחרו אותם משתמשים באמצעות הפלטפורמה. לעניין זה יודגש כי את אותה הצפנה ניתן לפרוץ ולגלות את הסיסמה עצמה”.

“[…] ברי כי כתוצאה מדליפה זו התובע ויתר המשתמשים היו ועודם חשופים לפריצות עבר וכן פריצות נוספות בעתיד גם במסגרת פלטפורמות אחרות (!!) או באמצעות הודעות פישינג המשתמשות במידע שנפרץ”.

“[…] והדבר חמור עשרות מונים, כאשר הסתבר כי המידע הרגיש נפרץ כבר בחודש אוקטובר 2017, ורק כעבור שמונה חודשים תמימים (!!) לאחר הפריצה ולאחר שהמידע הרגיש של המשתמשים גלוי לעיני כל, נתגלתה הפריצה על-ידי הנתבעת ודווחה למשתמשיה“.

“לא זו בלבד, רק לאחר הפריצה, בדיעבד, ולאחר ש’הסוסים כבר עזבו את האורווה, הנתבעת ‘נזכרה’ להשתמש באמצעי אבטחה ברמה גבוהה כנדרש, כפי שעושות חברות אחרות אשר אוחזות במידע רגיש, לדוגמה – אימות דו-שלבי”.

“דא עקא, מדובר בצעדים שננקטו מעט מידי ומאוחר מידי, כאשר חרף הצהרות החברה תחת כל עץ רענן כי ‘אין כל הוכחה שהמידע שזלג נוצל לרעה על-ידי גורמים זדוניים’ – המידע כיום (וככל הנראה כבר ממועד הפריצה) זמין ונסחר לכל דורש בכל רחבי המרשתת (האינטרנט)!!!“.

בהמשך כתב הטענות נאמר כי בנושא זה הוגשה נגד הנתבעת תובענה ייצוגית גם במדינת יוטה שבארה”ב אשר צורפה כנספח לכתב התביעה. לדברי התובע, “ידיעות אודות דליפת המידע פורסמו גם בכל העיתונים המרכזיים בישראל”.

באשר לסחר במידע על המשתמשים בפלטפורמה של מיי הריטג’ נאמר בכתב הטענות כי “רק לאחרונה, ביום 26.2.2020 גילה התובע לחרדתו ולתדהמתו כי המאגר הכולל בחובו את פרטיו האישיים והסיסמה המוצפנת שלו זמין להורדה בקלות ברשת האינטרנט!!. העתק סרטון וידאו אשר ערך התובע ובו הסבר פשוט כיצד בתוך מספר דקות בודדות בלבד ניתן להוריד את כל המאגר מרשת האינטרנט” צורף כנספח חסוי לכתב התביעה.

התובע ניסה גם לאתר את כמות הישראלים מתוך מאגר בן למעלה מ- 92 מיליון רשומות, ופילח את הרשומות שאיתר באינטרנט. “לפי החיתוך שביצע התובע, אותרו לא פחות מ- 346,802 (!!) משתמשים ישראלים במאגר אשר פרטיהם דלפו”.

אולם להערכת התובע, “מתברר כי פרטיהם של למעלה ממיליון ישראלים דלפו בפריצה!!”

“ויודגש, וכפי שמוסבר בסרטון שערך התובע לעיל, לא מדובר רק בפרטיהם של משתמשים פרטיים רגילים, אלא מדובר גם בפרטיהם של משתמשים אשר עובדים במשרדי הממשלה השונים ואפילו ברשות השופטת!!”

“המידע אודות 96 חשבונות של אנשי שירות בתי-המשפט שנפרצו, מידע הכולל את שמותיהם, כתובת הדוא”ל, הסיסמה המוצפנת ומועד ההתחברות לפלטפורמת הנתבעת” הינו חלק מהנספח החסוי.

“ואם בכל האמור לא די, התובע גילה לתדהמתו כי אותו המידע נסחר כבר למעלה משנה (לפחות) ברשת ה’דארקנט’ [‘הרשת האפלה’] שם ישנם גורמים אשר סוחרים באותו מידע שנפרץ ובו פרטיהם האישיים של למעלה מ- 92 מיליון המשתמשים“.

“[…] כפי שניתן להיווכח, מידע כזה (סיסמת משתמש באמצעי דיגיטלי) שווה הון רב, כאשר ישנם גורמים אשר עשויים לעשות עם מידע כזה שימוש רב (לרעה) ולפיכך מוכנים לשלם עליו כסף. גיופי ביון (כדוגמת השב”כ והמוסד הישראליים) וכן גורמי פשיעה רבים רוכשים שימוש במאגרי מידע המתבססים על דליפות כמו של הנתבעת ומשלמים על כך סכומים של מאות אלפי למיליוני דולר בשנה“.

“בנוסף, הנתבעת לא ערכה ניטור של השיח אודותיה, שאם לא כן, היא הייתה מזהה בעצמה שהמידע של 92.3 מיליון המשתמשים נסחר באינטרנט ולא רק אחרי שבעה חודשים”.

בין היתר מתבקש בית-המשפט “להורות על מינוי בודק נייטרלי אשר יבחן את היקף תקלת אבטחת המידע שאירעה, ובהתאמה לכך את היקף הנזק שנגרם לציבור והיקף התעשרותה של הנתבעת”.

התביעה הוגשה באמצעות עו”ד אברהם יהודה ורועי בכר ממשרד יהודה, בכר ושות’.

הערה: כל ההדגשות המופיעות בידיעה זו מופיעות כך בכתב התביעה המקורי (ואף בהדגשות וגופנים בולטים יותר ממה שפורסם כאן).

הערת עורך Read IT Now: התובע בתיק זה הוא סנדי-אלכסנדר פרנג’י הוא גם תובע באחת מארבע התביעות נגד בנק דיסקונט/פייבוקס פיתרונות תשלום, ש- Read IT Now היה האתר הראשון בארץ לדווח עליהן.