גולשת שביקשה להתלונן למשרד המשפטים על נהלי האבטחה של אתר הומלס,
בגינם הופיעו פרטים אישיים שלה בפורום Cyber Warrior הטורקי
- גילתה שמבחינת המשרד, כתובות מייל וסיסמאות אינם נחשבים כלל למידע פרטי.
שרון גפן, שפרטיה הופיעו בפורום ההאקרים הטורקי לצד פרטיהם של עשרות אלפי ישראלים נוספים
– פנתה לרמו"ט (הרשות למידע, משפט וטכנולוגיה) בבקשה למיצוי הדין עם מפעילי האתר ממנו נגנבו פרטיה. זאת, בגין פרצות האבטחה החמורות באותם אתרים, ועבירה על תקנות החזקת מאגר מידע.
נציג משרד המשפטים השיב לגולשת כי רשם מאגרי המידע, אשר קובע את נהלי האבטחה לגופים המחזיקים מאגרים שכאלה, לא יכול להתייחס לפנייתה שכן הפרטים שלה שמופיעים ברשימות אינם מידע אישי. מתוך כך, אם לדעתה, אתר הומלס (בו היתה רשומה) התרשל באבטחת נתוניו (דבר בו הודו מנהלי האתר באופן רשמי) - עליה להגיש תביעה אזרחית ולטפל בנושא בעצמה.
משרד המשפטים משך ידו מהנושא. בתגובה שקיבלה הגולשת נכתב: "סעיף 7 לחוק (חוק הגנת הפרטיות - נ.ס.) מגדיר ותוחם את המידע שהחוק חל עליו, לנתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו. היות וככל הנראה, הנתונים שנחשפו אינם נכללים בהגדרה של מידע, אין בסמכותו של רשם מאגרי המידע, האמון על אכיפת החוק, להתייחס לנושא".
גפן הופתעה מהתגובה."זה נחמד. נראה שהעמדה הרשמית של הרשות למשפט טכנולוגיה ומידע היא שכל עוד לא גנבו מתוך מאגרי המידע הבלתי מאובטחים של כל מיני חברות פרטים אישיים באמת, הרי שאין סיבה לנקוט בהליכים כלשהם כנגד אותם גופים מאחר שאין כאן הפרה של חוק הגנת הפרטיות", היא אומרת. גפן אף פרסמה את תגובת משרד המשפטים בבלוג שלה.
על פי חוק הגנת הפרטיות, מאגר מידע הינו אוסף נתוני מחשב הכוללים נתון אחד או יותר על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו. היות ורוב המשתמשים נוהגים להסתמך על סיסמה ותיבת מייל בודדות - ניתן להשיג גישה לכל אחד מהנתונים שפורטו לעיל, דרך פייסבוק, תיבת המייל, השירות המקוון של הבנק ובעצם - דרך כל אתר נעשה שימוש באותה הסיסמה שנחשפה.
אם החוק מתייחס אך ורק לפרטים אישיים עצמם, ולא לכלים שמאפשרים גישה מלאה לפרטים אלו, הרי שהנוסח שלו מאפשר בעקיפין להחזיק מאגרי מידע ללא רישום וללא פיקוח.
יתרה מזאת: החוק קובע כי כל רשימה שכוללת את פרטיהם של למעלה מעשרת אלפים איש מהווה מאגר מידע. די בכך כדי שמשרד המשפטים יפתח בחקירת מקרי הפריצות לאתרי הומלס ופיצה האט.
עוד בנושא: הסיסמא שלכם בידי הטורקים - מה עושים?
בראיון ל-ynet אומר עו"ד יורם הכהן, ראש רמו"ט כי הנושא מורכב מאוד מבחינה משפטית. על פי לשון החוק, ברשימות שנגנבו היו כתובות מייל וסיסמאות - נתונים נומינליים, שאינם מגלים כל פרט אודות המשתמש. עם זאת, באמצעותן אכן ניתן לקבל גישה למידע. "הנושא נבדק מבחינה משפטית. לאחר שהרשות תגבש את העמדתה בנושא, תישקל הפעלת סמכויות רגולטוריות", אמר הכהן.
חשוב לציין כי בדיקת נושא זה עשויה להתארך בשל סוגיות משפטיות רבות. עם זאת, במשרד המשפטים מבינים את בעייתיות הנוסח הנוכחי של החוק, וישקלו את שינויו. אזרחים אשר פרטיהם נחשפו ברשת בצורה אשר פגעה בהם מוזמנים לדווח לרשות, במקביל לנקיטת צעדים משפטיים באופן פרטי.
עוד בנושא: פרצו לי למייל. את מי אני תובע?
לפני כשבועיים פורסם כאן כי פורום האקרים טורקי מציג לראווה כתובות דואר אלקטרוני וסיסמאות של קרוב למאה אלף ישראלים – פרטים אשר נגנבו מאתרי הומלס, פיצה האט ואחרים.
בעקבות הפרסום, לקחו מנהלי הומלס אחריות לפריצה, אמרו כי פירצת האבטחה דרכה יכלו ההאקרים לגנוב את הפרטים תוקנה, וכי האתר קורא להנהלות אתרים אחרים שנפרצו לדווח על כך לגולשיהם. לאחר מכן דווח כי רשימה נוספת, בה פרטי לקוחות פיצה האט, הופיעה אף היא בפורום. מנהלי האתר נקטו בדרך פעולה דומה לשל מנהלי הומלס.
גולשים רבים חשו חוסר אונים ותיסכול לנוכח הקלות בה ניתן להשיג את פרטיהם, ולעשות בהם שימושים שונים - ממסחריים ועד לפליליים. ורבים קראו לאתרים לפצות את לקוחותיהם - ואף הפצירו בהאקרים ישראליים לבצע "פעולות תגמול" נגד הפורצים מטורקיה. הפריצות נעשו במסגרת גל פעולות אנטי-ישראליות ברשת,
שבוצעו על רקע אירועי המשט לעזה.
בהכנת הכתבה סייע אהוד קינן
