תובענה ייצוגית בהיקף קבוצתי של 40 מיליון ₪ נגד דן חברה לתחבורה ציבורית מפעילת שירות Bubble Dan בעקבות “אירוע אבטחה חמור במסגרתו נחשפו פרטים אישיים וחסויים של לקוחות הנתבעת”; תובענה ייצוגית שנייה נגד החברה לגבי באבל דן בתוך 12 יום

היום בשעה 12:43 דיווחתי בחלון המבזקים של אתר זה: הוגשה (8.3.2020) תביעה (ובקשה לאשרה כתובענה ייצוגית) נגד דן חברה לתחבורה ציבורית בע”מ, מפעילת שירות Bubble Dan; התביעה (בהיקף קבוצתי של 40 מיליון ₪) היא בעקבות הפרסום של חוקר אבטחת המידע רן בר-זיק ב”הארץ” בדבר “אירוע אבטחה חמור במסגרתו נחשפו פרטים אישיים וחסויים של לקוחות הנתבעת”; ב- 26.2.2020 פירסמתי באתר זה ידיעה שכותרתה: תביעה (ובקשה לאשרה כתובענה ייצוגית) נגד דן ויונייטד טורס בגין שירות ‘באבל דן’ שלכאורה אינו נגיש לבעלי מוגבלויות ובמיוחד לציבור העיוורים.

התביעה הוגשה לבית-המשפט המחוזי בתל אביב והתובע בתיק זה הוא יוסף קצב [המוגדר בכתב התביעה כ”צרכן תחבורה ציבורית, המשתמש בשירותי הנתבעת הידועים כ’באבל’ ואשר ביצע רישום מקוון באמצעות היישומון של שירותי החברה והופקה לטובתו לפחות חשבונית מס/קבלה אחת”].

בכתב הטענות נאמר בין היתר כי “יסודה של תביעה זו הוא אירוע אבטחה חמור כהגדרתו בתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז – 2017 במסגרתו נחשפו פרטים אישיים וחסויים של לקוחות הנתבעת וביניהם התובע, תוך הפרת הוראות הדין וההסכם בין הצדדים.

“פירצת האבטחה החמורה גרמה לנזק לפרטיות התובע, תוך הפרת ההסכם בין הצדדים לרבות קיומו בחוסר תום לב ו/או במצג שווא רשלני. עניינו, בקליפת אגוז, הינו בהתנהלות בלתי חוקית מצד הנתבעת כלפי התובע, שבעקבותיה נחשפו פרטיו האישיים לרבות כרטיס האשראי לכל דכפין.

“הנתבעת מחזיקה בידה מידע אישי ורגיש על משתמשים רשומים באפליקציה וביניהם התובע, המחוייב ברמת האבטחה הגבוהה ביותר בהתאם להוראות הדין, לרבות בהתאם לתוספת הראשונה והשנייה של תקנות הסייבר”.

בהמשך כתב הטענות נאמר כי “ביום 4.3.2020 פורסמה ידיעה במגזין האינטרנט של עיתון ‘הארץ’ מאת רן בר-זיק, חוקר אבטחת מידע, בלוגר טכנולוגי ומתכנת, הידוע בעיקר בשל היותו מאתר פרצות וחולשות אבטחה ובפעילותו הציבורית למען אבטחת מידע, אינטרנט חופשי ופרטיות.

“בכתבה פורסם כי מידע אישי ורגיש אודות משתמשי שירותי ‘באבל’, דלף עקב חור אבטחה במערכת דיוור החשבוניות של הנתבעת, זאת עקב חולשת אבטחה פשוטה אשר חשפה את שם הלקוח, כתובת הדואר האלקטרוני, 4 ספרות אחרונות של כרטיס האשראי ותוקפו.

“לדבריו של בר-זיק, חולשת האבטחה הייתה חולשה פשוטה מאוד שנמצאה במערכת החשבוניות של הנתבעת. בתום כל נסיעה, החברה שולחת חשבונית כחוק למשתמש. החשבונית מאוחסת במאגר שירותי ענן של חברת אמזון, וההודעה נשלחת למשתמש באמצעות דואר אלקטרוני. הלקוח יכול להיכנס אל החשבונית באמצעות הקשה על קישור, להיכנס לחשבונית ולצפות בה.

“עוד נכתב בידיעה כי לקוח בשם מיכאל גוברמן, חוקר אבטחת מידע במקצועו, גילה שבכתובת הקישור שנשלח ללקוח יש מספר רץ של החשבונית, מספר אשר נועד להגן על המידע אך בפועל – פעולה פשוטה של הסרת הפרמטרים איפשרה לכל אדם לגשת אל כל חשבונית ללא שום מניעה”.

“[…] הקובץ המכיל את החשבונית אוחסן בשירותי אחסון הענן של חברת אמזון ללא הגנה, ללא דרישת הרשאה או רישום וללא מניעה מכל אדם להיכנס לקובץ האמור”.

לדברי כתב הטענות בהמשך, “הנתבעת, אשר מודה כי היא מודעת לפירצת האבטחה, לא מביעה התנצלות כלפיי משתמשיה, לא שלחה – נכון ליום הגשת כתב תביעה זה – שום הודעה למשתמשיה על מחדל אבטחת המידע, לא יידעה את משתמשיה אודות המידע אשר ‘דלף’ ממאגריה וחמור מכך – לא הזהירה את המשתמשים על הסיכונים החמורים שהם חשופים אליהם עקב דליפת המידע.

“מעבר לכך, המשיבה לא פעלה על-מנת לדווח לרשות להגנת הפרטיות בדבר הפירצה שהתגלתה.

“מעבר לעובדה שהנתבעת לא יידעה את משתמשיה והשאירה אות חשופים לסיכונים של הונאות על-ידי שימוש במידע, לא הוצע למשתמשים כל פיצוי עקב הנזק שנגרם להם עקב רשלנותה של הנתבעת”.

אלא שלדברי כתב התביעה, “רשלנותה הפושעת של הנתבעת לא הסתיימה באירוע אחד. יממה לאחר אירוע האבטחה בו נפגעו עשרות אלפי משתמשים, התגלה מחדל אבטחה נוסף אשר חשף אלפי צילומי תעודות זהות, תעודות אזרח ותיק וצילומי תעודות נכה”.

דברים אלה מתבססים על כתבה שפירסם עידו בן טובים כתב המגזין Geek Time (“גיקטיים”) ב- 5.3.2020: פירצת אבטחה חמורה ומסוכנת בשירותי ‘באבל’ של הנתבעת אשר חשפה צילומי תעודות זהות של אזרחים ותיקים לעיני כל מי שמחזיק בדפדפן”.

התביעה הוגשה באמצעות עו”ד אור ירקוני ואורי אלדר.

הערות עורך Read IT Now:

+ כל ההדגשות המופיעות כאן מופיעות כך במקור.

+ ב- 26.2.2020 פירסמתי כאן באתר ידיעה על תביעה אחרת (ובקשה לאשרה כתובענה ייצוגית) נגד חברת דן וחברת יונייטד טורס המפעילות את שירות “באבל דן” (Bubble Dan).

+ רן בר-זיק פירסם בעבר (20.2.2018) ציוץ בטוויטר שהתייחס לדברים שנכתבו ב- Read IT Now.