תובענה ייצוגית נגד חח”י בשל “מחדלי אבטחה וחשיפת מאגרי מידע” לכאורה; “כל אדם בעל קו טלפון פעיל וגישה לאינטרנט יכול להיחשף לנתונים אודות כלל לקוחות המשיבה”; היקף התביעה: יותר ממיליארד ש”ח [ידיעה מעודכנת]

לבית-המשפט המחוזי בתל אביב הוגשה היום (30.4.3030) תביעה (ובקשה לאשרה כתובענה ייצוגית) נגד חברת החשמל בשל “מחדלי אבטחה וחשיפת מאגרי מידע” לכאורה. התובע טוען כי “כל אדם בעל קו טלפון פעיל וגישה לאינטרנט יכול להיחשף לנתונים אודות כלל לקוחות המשיבה”. היקף התביעה הקבוצתית: 1,038,500,000 ₪.

התובע בתיק זה הוא יעקב זיגון, צרכן של חברת החשמל לישראל (חח”י). בכתב הטענות נאמר בין היתר כי “יסודה של תובענה זו הוא אירוע אבטחה חמור ומתמשך, העונה להגדרתו בתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז – 2017, במסגרתו נחשפו פרטים אישיים וחסויים של חברי הקבוצה תוך פגיעה באוטונומיה ומשכך, תוך הפרת הוראות הדין וההסכם בין הצדדים”.

“אין מדובר בפירצת אבטחה בה ‘האקרים’ מתוחכמים נעזרים בידע טכנולוגי רב על-מנת לפרוץ את מערכות החברה אלא מדובר בזלזול בוטה וקיצוני של [ה]משיבה באבטחת נתוני לקוחותיה אשר מתבטא בכך כי כל אדם בעל קו טלפון פעיל וגישה לאינטרנט, לאחר מספר לחיצות כפתור אלמנטריות, יכול להיחשף לנתונים אודות כלל לקוחות המשיבה, לרבות הקבוצה המיוצגת, לרבות נתוני צריכה, כתובות, חשבוניות וחיובים, משנים רבות לאחור ועד יום זה, ממש כך!”.

“פירצת האבטחה החמורה גרמה לפגיעה חמורה בזכויות חברי הקבוצה המיוצגת לפרטיות, תוך גרימת נזק”.

“[…] ענייננו, בקליפת אגוז, הינו בהתנהלות בלתי חוקית, רשלנית וחסרת אחריות מצד המשיבה כלפי הקבוצה המיוצגת, שבעקבותיה נחשפו פרטים אישיים של חברי הקבוצה לכל דכפין ושמה את חברי הקבוצה בסיכון רב כנגד ניצול לרעה של המידע שדלף ע”י גופים שליליים”.

“המשיבה מחזיקה בידה מידע אישי ורגיש על לקוחותיה המחוייב ברמת האבטחה הגבוהה ביותר בהתאם לדין, לרבות התוספת הראשונה והשנייה של תקנות הסייבר”.

“יובהר כבר עתה כי המשיבה מודעת היטב לפירצת האבטחה מזה תקופה ארוכה אך לא עושה דבר על-מנת לתקנה”.

כתב התביעה מפרט שני מחדלי אבטחה בהקשר זה ולאחר מכן נאמר בו: “לצורך בדיקת פרצות האבטחה, נערכו מספר ניסיונות אשר העלו את התוצאות הבאות: נערך ניסיון רישום בשם מנכ”ל המשיבה, ה”ה עופר בלוך: התוצאה: רישום מוצלח בשם מר בלוך עם מספר טלפון אשר אינו בבעלותו וללא ידיעתו, המאפשר עיון בכל פרטיו האישיים. לאחר מכן נעשה שימוש בחשבון של מר בלוך, על-מנת להיכנס לפרטיו של המבקש כמפורט במחדל אבטחה מס’ 2 ואכן ניתן היה לראות את כל פרטיו של המבקש”. לכתב התביעה צורף סרטון המתעד ניסיון זה.

לדברי כתב הטענות, “יודגש כי שהמשיבה לא דיווחה כדין, נאלץ המבקש לדווח בעצמו לרשות להגנת הפרטיות בדבר פירצת האבטחה, טרם הגשת תביעתו, למען יפעלו בדחיפות בעניין”. לכתב התביעה צורף נוסח הפנייה.

* בין הנספחים לכתב התביעה: כתבה של רן בר-זיק ב”הארץ” מיום 12.3.2019 בנושא אבטחת מידע בחברת החשמל וכן הודעת התובע לרשות להגנת הפרטיות בחברת החשמל.

התביעה הוגשה באמצעות עו”ד אור ירקוני ואורי אלדר.

עדכון (1.5.2020): 

+ עם כל הכבוד לדרור גלוברמן ו”מאקו”, הרי ש- Read IT Now היה האתר הראשון לפרסם את דבר הגשת התובענה הייצוגית נגד חברת החשמל בדבר “מחדלי אבטחה במאגרי מידע” [היקף התביעה הקבוצתית: 1,038,500,000 ₪]: דבר התביעה דווח כאן באתר ביום חמישי, 30.4.2020, בחלון המבזקים (בשעה 14:49) ובידיעה המורחבת (בשעה 15:34), יותר משעה לפני הפרסום של “מאקו”.

+ בשעה 15:41 שלחתי מייל על הידיעה (וקישור אליה) לרן בר-זיק מ”הארץ’, שפירסם בשעתו על בעיית האבטחה בחח”י.

+ דקה לאחר מכן שלחתי מייל על הידיעה (עם הקישור אליה) לעו”ד אורי אלדר, אחד משני המייצגים בתביעה זו.