בית משפט בישראל דחה בקשה לתביעה ייצוגית נגד פייסבוק
השופט רניאל דחה את בקשתו של בעל משרד עורכי דין מאזור המרכז, להגשת תביעה ייצוגית נגד פייסבוק ופייסבוק אירלנד, בטענות להפרת חוזה | לדברי השופט, "פייסבוק אינה חסינה מהתקפות והיא מודיעה זאת למשתמשיה על מנת שיכלכלו צעדיהם בתבונה״
עמי רוחקס דומבה
| 02/08/2022
bigstock
החלטה חשובה הנוגעת לאבטחת הפרטיות של כולנו, משתמשי הרשתות החברתיות השונות והאינטרנט בכלל, ניתנה לפני שבועיים על ידי השופט הבכיר ד"ר מנחם רניאל מבית המשפט המחוזי בחיפה.
השופט רניאל דחה את בקשתו של בעל משרד עורכי דין מאזור המרכז, להגשת תביעה ייצוגית נגד פייסבוק ופייסבוק אירלנד, בטענות להפרת חוזה, הפרת חוק הגנת הצרכן, הפרת חוק הגנת הפרטיות, התרשלות והפרת חובה חקוקה, עקב פרצת אבטחה בפלטפורמת הרשת החברתית שגרמה לסכנה לדליפת פרטים אישיים של 90 מיליון משתמשים בפייסבוק ברחבי העולם.
לדברי השופט, "פייסבוק אינה חסינה מהתקפות והיא מודיעה זאת למשתמשיה על מנת שיכלכלו צעדיהם בתבונה. אין בכך כדי לפטור את פייסבוק מפעולות סבירות לאיתור התקפות ולהתמודדות איתן, אבל פייסבוק אינה חבה באחריות מוחלטת לכך שלא יהיו התקפות וגניבות מידע".
הבקשה להגשת התביעה עוסקת בפרצת אבטחה שאותה גילתה פייסבוק בסוף ספטמבר 2018, אז ניתקה כ-90 מיליון משתמשים ברחבי העולם וביקשה מהם להתחבר מחדש לחשבונם. פייסבוק טענה שכ-50 מיליון מהחשבונות נפרצו, וכ-40 מיליון חשבונות נוספים נותקו ליתר ביטחון, משנעשה בהם שימוש במאפיין ששימש למתקפה.
ביום 28.9.18 או בסמוך לכך קיבל מבקש הודעה מפייסבוק, שלפיה חשבונו והמידע האישי שלו ככל הנראה נפגעו, כתוצאה מפרצת אבטחה והוא נדרש להתחבר מחדש לחשבונו. המבקש הגדיר את הקבוצה שבשמה ביקש לנהל תביעה ייצוגית כ"כל מי שברשותו קיים ו/או היה קיים חשבון פייסבוק שנפרץ ו/או היה קיים חשש שנפרץ, בעקבות פרצת אבטחה אשר התגלתה על ידי פייסבוק ביום 25.9.2018".
הוא ביקש שבית המשפט יכיר בו כמייצג הקבוצה וציין כי ביום 28.9.18 הוגשה תביעה ייצוגית דומה במדינת קליפורניה.
חולשת אבטחה הקשורה לפיצ'ר המכונה "View as"
לטענת המבקש, מפרסומי פייסבוק עולה שמדובר בחולשת אבטחה הקשורה לפיצ'ר המכונה "View as", המאפשר למשתמשים להביט בפרופיל שלהם מנקודת מבטם של משתמשים אחרים מסוגים שונים, על מנת לוודא כי מדיניות הפרטיות שהגדירו פועלת כהלכה.
לדבריו, פייסבוק לא פרסמה פרטים טכניים עמוקים מספיק, שיאפשרו להבין בדיוק רב את החולשה מנקודת מבט הנדסית. ההשלכות של החולשה חמורות במיוחד במקרה של פייסבוק, בשל טבע הקישור בין משתמשיה. כלומר, די בחשבון אחד שנפרץ כדי להשתלט על כלל חשבונות חבריו, על כלל חשבונות חבריהם וכן הלאה.
המבקש טען עוד כי סמך על מצגי פייסבוק בנוגע לאבטחת המידע שלה והפקיד בידה מידע אישי שלו במהלך 11 השנים האחרונות שבהן השתמש בשירותיה, ובכלל זה פרטיו האישיים, כתובות דואר אלקטרוני, חשבונות דוא"ל לשחזור, מספרי טלפון, תאריך לידה, סיסמאות, תשובות לשאלות אבטחה, אירועים ממהלך חייו, תמונות, סרטונים ועוד. לטענתו, פרצת האבטחה העמידה בסכנה גם את פרטי המידע האישי של העסק שלו, בדף העסקי בפייסבוק.
המבקש אמד את הנזק האישי שנגרם לו בסך של 1,000 שקלים, ובנוגע לנזקם של חברי הקבוצה שהוא מבקש לייצג טען שאין בידיו נתונים מדויקים על מספר המשתמשים בישראל שנפגעו כתוצאה מפרצת האבטחה, אך על פי הנתונים, ניתן להעמיד את כמות הנפגעים במדינת ישראל על סך של 232 אלף.
זאת, משום שנכון לסוף שנת 2017 היו בישראל 5,800,000 משתמשי פייסבוק, וכ-2.2 מיליארד משתמשים ברחבי העולם. החלק היחסי של הנפגעים (90 מיליון) מתוך משתמשי פייסבוק בעולם עומד על 0.04 (90 מיליון חלקי 2.2 מיליארד), והכפלת החלק היחסי (0.04) בכמות משתמשי פייסבוק בישראל (5.8 מיליון) שווה ל-232 אלף משתמשים.
משכך, טען המבקש שהנזק לכלל חברי הקבוצה מוערך בסך של 232 מיליון שקלים. המבקש טען שגובה הנזק הנטען נגזר גם מהמחיר שניתן לבקש ב"שוק השחור" (dark web) עבור פרטי מידע אישיים של המבקש וחברי הקבוצה. לטענתו, לצורך הערכת הנזק המצרפי המדויק שנגרם לחברי הקבוצה, יש צורך בקבלת נתונים מפייסבוק.
לטענת פייסבוק, בתשובתה לבקשת התביעה הייצוגית, ההתקפה נגדה היתה כרוכה בניצול חולשת אבטחה חבויה היטב, שלא היתה ידועה קודם לכן, שנבעה מאינטראקציה מורכבת ובלתי צפויה של שלושה רכיבים מובחנים של שירות פייסבוק, שאף אחד מהם לא יצר חולשת אבטחה בחשבון כשהוא עומד בפני עצמו.
שלושת הרכיבים של שירות פייסבוק שהיו מעורבים בהתקפה הם:
•View as specific user mode – הצג כמשתמש ספציפי.
• Happy birthday composer - רכיב המאפשר למשתמש אחד לאחל למשתמש אחר יום הולדת שמח על ידי פרסום הודעה, תמונה, או קטע וידאו בציר הזמן של המשתמש האחר.
• Video Uploader - רכיב המאפשר למשתמשים להעלות תוכן וידאו.
לדברי פייסבוק, החולשה התקיימה רק כשהיתה לתוקפים גישה לציר הזמן של משתמש באתר פייסבוק בהתקיים צירוף שלושת אלה: הדף של המשתמש (ציר הזמן) חייב להיות מוצג במצב View as specific user; יום ההולדת של המשתמש חייב היה להיות גלוי בציר הזמן כשניגשו אליו.
הדבר לא אמור לקרות אם, כפי שקורה לעיתים קרובות, יום ההולדת התרחש לפני זמן מה ואירועים שבאו אחריו בציר הזמן האפילו עליו, אלא אם כן ה-View as specific user גלל למטה בציר הזמן עד לאירוע יום ההולדת.
בנוסף, יום ההולדת של המשתמש לא נראה כלל אם המשתמש בחר שלא לשתף את תאריך הלידה שלו עם אחרים; ובנוסף, לפחות שלושה משתמשים אחרים שלחו למשתמש הודעות ליום הולדתו, שפורסמו בציר הזמן יחד עם אירוע יום ההולדת.
לטענת פייסבוק, התוקפים ביצעו את ההתקפה על ידי שימוש במספר מצומצם של משתמשים ראשוניים, כדי לגנוב טוקני גישה עבור מאגר גדול בהרבה של משתמשים שהיו מקושרים לאותם משתמשים ראשוניים כחברים. טוקני גישה אלו שימשו לאחר מכן כדי לגשת למידע בחשבונות של החברים.
פייסבוק טענה שהגיבה במהירות ובאפקטיביות להתקפה. לדברי החברה, ביום 26.9.18 גילתה כיצד התוקפים ניצלו את החולשה וכבר למחרת, פרסמה תיקון תוכנה לחולשה כדי למנוע מהתוקפים את האפשרות לגנוב טוקני גישה נוספים. התיקון פתר את החולשה ועצר את התוקפים.
פייסבוק אף נטרלה את רכיב ה-"View as" כאמצעי זהירות נוסף. כמו כן, פעלה פייסבוק במהירות להכיל את ההתקפה על ידי אבטחת חשבונות המשתמשים, כלומר מייד לאחר זיהוי החולשה זוהה ציבור המשתמשים שעלולים להיות מושפעים מהחולשה.
כ-90 מיליון משתמשים ענו לקריטריונים והם אלה שיש אפשרות שהושפעו. פייסבוק מיהרה לנתק את כל המשתמשים הללו כאמצעי זהירות, לפני שביצעה את הניתוח הנדרש לזיהוי המשתמשים שהושפעו מההתקפה בפועל. לאחר הטיפול בהתקפה, המשיכה פייסבוק לחקור ולנתח את ההתקפה והיקפה.
אין אינדיקציה שהתוקפים שמרו מידע
פייסבוק מצאה כי התקפה השפיעה על כ-29 מיליון משתמשים ברחבי העולם, שהשתייכו לאחת משלוש קבוצות:
קבוצה ראשונה – כ-15 מיליון משתמשים ברחבי העולם שהתוקפים ניגשו למספר הטלפון או לדוא"ל, או לשניהם, בהתאם למידע שבחרו המשתמשים למסור לפייסבוק.
קבוצה שניה - כ-14 מיליון משתמשים ברחבי העולם שהתוקפים ניגשו לפרטי קשר בסיסיים שלהם וכן לפרטים מסוימים אחרים מהחלק "אודות" בפרופילים שלהם, לרבות שם משתמש, שם פרטי, שם משפחה, שם מלא, מין ותאריך לידה, ובמידה שהשדות שהיו מאוכלסים גם מקום עבודה, השכלה, מערכת יחסים, השקפות דתיות, העיר בה גדל, עיר מגורים על פי דיווח עצמי ואתר אינטרנט.
כמו כן ניגשו התוקפים גם לפרטי מידע אחרים - מיקום/שפה, סוגי המכשירים שבהם משתמש המשתמש כדי לגשת לפייסבוק, 10 המקומות האחרונים שהמשתמש עשה בהם "צ'ק אין" או ש"תויג" בהם בפייסבוק, האנשים או הדפים שהמשתמש "עקב" אחריהם, ו-15 החיפושים האחרונים של המשתמש בסרגל החיפוש של פייסבוק, אם נעשו.
קבוצה שלישית - קבוצה קטנה מבין 29 מיליון המשתמשים המושפעים (בערך אחוז אחד) שהם המשתמשים ה"ראשוניים" כפי שתואר לעיל.
התוקפים ניגשו גם למידע נוסף כאמצעי הכרחי לביצוע ההתקפה - ציר הזמן בפייסבוק. כתוצאה מכך, נתונים על "פוסטים" של אותם משתמשים בצירי הזמן שלהם (כולל תגובות, תמונות וסרטונים) וכן מידע אחר שנועד להופיע בדפי האינטרנט, המכילים את צירי הזמן שלהם כאשר ניגשים אליהם במצבView as specific user.
לטענת פייסבוק, אין אינדיקציה שהתוקפים שמרו מידע נוסף זה או שהם היו מעוניינים בהשגתו. פייסבוק טוענת כי על פי כל הסימנים מהחקירה שביצעה, מטרת התוקפים היתה לאסוף טוקני גישה של משתמשים ולהשתמש בהם כדי לאסוף מידע שאליו ניגשו עבור קבוצות 1 ו-2, וכי גישה לצירי הזמן של המשתמשים הראשוניים במצב View as specific user היה רק אמצעי להשגת מטרה זו.
בנוסף, פייסבוק הבהירה שהמידע שהיה נתון בסכנה במסגרת ההתקפה לא כלל פרטי כרטיס אשראי, סיסמאות ומספרי זהות של משתמשים, והתוקפים לא חיפשו הודעות פרטיות שנשלחו באמצעות "מסנג'ר" כחלק מההתקפה.
לדברי פייסבוק, ביום 12.10.18 הודיעה החברה לכל משתמשיה ברחבי העולם שההתקפה לא כללה אפליקציות של צדדים שלישיים או חשבונות של פרסום או מפתחים. באותו יום עדכנה פייסבוק את 29 מיליון משתמשיה בעולם שחשבונותיהם הושפעו בפועל מההתקפה בהודעות אפליקציה פנימיות ומותאמות אישית, שפירטו מה סוג המידע שאליו הגיעו התוקפים ואילו צעדים יכולים המשתמשים לנקוט כדי להגן על עצמם.
גם המבקש קיבל ביום זה הודעה מפייסבוק, המודיעה לו מהו המידע הספציפי מחשבונו שהושפע מההתקפה, בהיותו שייך לקבוצה השנייה של משתמשים שהושפעו מההתקפה כאמור לעיל. באותו יום, פרסמה פייסבוק גם עדכון ב-Newsroom שלה, כדי לוודא שכל משתמשיה ברחבי העולם מעודכנים. העדכון כלל ממצאים בנוגע לחשבונות שהיו מעורבים בהתקפה ופרטים נוספים לגבי החקירה.
השופט דחה את הבקשה לייצוגית
השופט רניאל, שהחליט כאמור לדחות את הבקשה לתביעה ייצוגית, כתב בהחלטתו כי "אני דוחה את טענת המבקש שהיה על פייסבוק להציג את מלוא המידע אודות הסיכון הקיים לגניבת פרטי המידע האישי מכוח חובת תום הלב החלה עליה בהתאם לסעיף 39 לחוק החוזים.
״פייסבוק הציגה את מלוא המידע שברשותה קודם להתקפות והיא עושה כמיטב יכולתה לספק את המוצר המוגן ביותר, אך מוצריה ניתנים כמו שהם והיא אינה מתחייבת שמוצריה יהיו תמיד בטוחים או חפים מליקויים או שגיאות. תום הלב הוא להצהיר שהמוצר אינו בטוח ואינו חף משגיאות או ליקויים זה הסיכון הקיים לגניבת המידע, קודם שיודעים על התקפה ספציפית".
השופט כתב עוד כי "פייסבוק לא יכולה לגלות למשתמשיה מה שהיא עצמה אינה יודעת. אני מקבל את טיעונה של פייסבוק, שבעוד היא מנסה להגן על מלוא החזית ולבדוק כל חריגה בכל מאפיין ובכל צירוף של מאפיינים בכל מספר ובכל מצב, כדי שהתקפה תצליח היא צריכה להידחק דרך סדק אחד בלבד.
״פייסבוק אינה יכולה ואינה חייבת לצפות מראש את כל האפשרויות האינסופיות להתקפה. התוקפים ניצלו חולשת אבטחה חבויה מורכבת ובלתי צפויה שלא היתה ידועה קודם לכן. הצירוף הנדיר של שלושת המאפיינים שנכללו בחולשה והסבירות הקלושה לצירוף זה, מבהירים כמה היתה החולשה שנוצלה נדירה, מורכבת וקשה לחיזוי מראש.
"דומה שלדעת המבקש, זכותו הטבעית היא לנהל חשבון פייסבוק ולגלות בחשבונו את כל המידע האישי והכמוס, ואילו חובת פייסבוק לשמור בצורה מוחלטת על המידע שהוא החליט לגלות. לפי הראיות בפני, בידי המבקש להחליט איזה מידע לגלות ולמי ואין הוא חייב לגלות את המידע שאין הוא רוצה לגלות. מה שיגלה, לפי כללים שיקבע, יגלה על בסיס ההנחה, הגלומה בתנאי השירות, שיש בשירות פגמים ואין בטחון מוחלט שהמידע לא יזלוג".
״אין 100 אחוזי הגנה״
לדברי רם לוי, מנכ"ל ומייסד "Konfidas" - חברה לניהול משברי סייבר, "מדובר בהחלטה חשובה, שיכולה לספק קו הגנה לחברות רבות בנוגע לפריצות ותקיפות נגדן, הכרוכות בסכנה לגניבת מידע אישי של המשתמשים בהן.
״אין 100 אחוזי הגנה, בוודאי לא כאשר מתמודדים עם מדינות שיש להן יכולות גבוהות. אם חברת ענק כמו פייסבוק אינה חסינה ממתקפות, ודאי שלחברות קטנות יותר יהיה קשה מאוד להתמודד ולהגן באופן הרמטי מפני מתקפות כאלה. לכן, הציפייה שארגון קטן יוכל להתגונן מפני איום מדינתי היא ציפייה לא ריאלית.
"בעצם, בית המשפט אומר כאן שני דברים חשובים ביותר. אחד, אין 100 אחוזי הגנה ושתיים – המשתמשים צריכים להתעורר, להבין שאיש אינו מבטיח להם הגנה הרמטית על פרטיותם ושהאחריות על מעשיהם ברשת מוטלת גם עליהם.
״כדי לעשות את זה כדאי לכל אחד מאיתנו קודם כל להיות מודע לאפשרויות האבטחה שהרשתות החברתיות מציעות. הרי למה יש כל כך הרבה פריצות לחשבונות ברשתות החברתיות? כי רוב מוחלט של המשתמשים אינם מודעים ואינם מפעילים את אפשרויות האבטחה הבסיסיות ביותר שהרשתות הללו מציעות
"זו טעות גדולה לחשוב שהרשת או החברה שבה אנו מפקידים את פרטינו האישיים, לרבות מספרי אשראי וכולי, תגן עלינו הגנה מלאה והרמטית בכל מחיר. משום שככל הנראה מתישהו יפרצו שוב לפייסבוק, לאינסטגרם או לאתר הבנק לצורך העניין, עלינו להיות ערוכים ליום הזה.
"החברות, מצידן, בעיקר הרשתות החברתיות, שולחות הודעות אבטחה וכן עוזרות למשתמשים שמעוניינים כדי להגן על עצמם, גם בעזרת מדריכים שונים ותכנים אחרים שהן מפרסמות, הכרוכים בפעולות פשוטות שעוזרות למשתמש להגן על עצמו.
״יש אפשרויות נוספות כגון האימות הדו שלבי שחברות רבות משתמשות בו, הכולל למשל הודעת סמס לטלפון לאחר הקלדת היוזר והסיסמה, ואז יש צורך לפרוץ גם לטלפון של המשתמש, מה שמקשה על הפורצים.
״בנוסף, יש אפשרויות פיזיות כגון אפילו מפתח פיזי לא יקר שמתחבר למחשב או נצמד לטלפון וצריך ללחוץ עליו כדי להיכנס לחשבון. זה מעביר את הבעיה של הפורצים מהעולם הוירטואלי לעולם הפיזי, שכן מי שרוצה לפרוץ לחשבון שלך צריך ממש לגנוב את המפתח הפיזי הזה, מה שכמובן לא אפשרי לתוקף מאיראן, רוסיה או סין.
״בשורה התחתונה, מעבר לאחריות החברות שבהן אנחנו משתמשים, עלינו לגלות גם אחריות אישית כדי להגן על עצמנו וזה בהחלט אפשרי, לא יקר ולא מסובך".
השופט רניאל דחה את בקשתו של בעל משרד עורכי דין מאזור המרכז, להגשת תביעה ייצוגית נגד פייסבוק ופייסבוק אירלנד, בטענות להפרת חוזה | לדברי השופט, "פייסבוק אינה חסינה מהתקפות והיא מודיעה זאת למשתמשיה על מנת שיכלכלו צעדיהם בתבונה״
bigstock
החלטה חשובה הנוגעת לאבטחת הפרטיות של כולנו, משתמשי הרשתות החברתיות השונות והאינטרנט בכלל, ניתנה לפני שבועיים על ידי השופט הבכיר ד"ר מנחם רניאל מבית המשפט המחוזי בחיפה.
השופט רניאל דחה את בקשתו של בעל משרד עורכי דין מאזור המרכז, להגשת תביעה ייצוגית נגד פייסבוק ופייסבוק אירלנד, בטענות להפרת חוזה, הפרת חוק הגנת הצרכן, הפרת חוק הגנת הפרטיות, התרשלות והפרת חובה חקוקה, עקב פרצת אבטחה בפלטפורמת הרשת החברתית שגרמה לסכנה לדליפת פרטים אישיים של 90 מיליון משתמשים בפייסבוק ברחבי העולם.
לדברי השופט, "פייסבוק אינה חסינה מהתקפות והיא מודיעה זאת למשתמשיה על מנת שיכלכלו צעדיהם בתבונה. אין בכך כדי לפטור את פייסבוק מפעולות סבירות לאיתור התקפות ולהתמודדות איתן, אבל פייסבוק אינה חבה באחריות מוחלטת לכך שלא יהיו התקפות וגניבות מידע".
הבקשה להגשת התביעה עוסקת בפרצת אבטחה שאותה גילתה פייסבוק בסוף ספטמבר 2018, אז ניתקה כ-90 מיליון משתמשים ברחבי העולם וביקשה מהם להתחבר מחדש לחשבונם. פייסבוק טענה שכ-50 מיליון מהחשבונות נפרצו, וכ-40 מיליון חשבונות נוספים נותקו ליתר ביטחון, משנעשה בהם שימוש במאפיין ששימש למתקפה.
ביום 28.9.18 או בסמוך לכך קיבל מבקש הודעה מפייסבוק, שלפיה חשבונו והמידע האישי שלו ככל הנראה נפגעו, כתוצאה מפרצת אבטחה והוא נדרש להתחבר מחדש לחשבונו. המבקש הגדיר את הקבוצה שבשמה ביקש לנהל תביעה ייצוגית כ"כל מי שברשותו קיים ו/או היה קיים חשבון פייסבוק שנפרץ ו/או היה קיים חשש שנפרץ, בעקבות פרצת אבטחה אשר התגלתה על ידי פייסבוק ביום 25.9.2018".
הוא ביקש שבית המשפט יכיר בו כמייצג הקבוצה וציין כי ביום 28.9.18 הוגשה תביעה ייצוגית דומה במדינת קליפורניה.
חולשת אבטחה הקשורה לפיצ'ר המכונה "View as"
לטענת המבקש, מפרסומי פייסבוק עולה שמדובר בחולשת אבטחה הקשורה לפיצ'ר המכונה "View as", המאפשר למשתמשים להביט בפרופיל שלהם מנקודת מבטם של משתמשים אחרים מסוגים שונים, על מנת לוודא כי מדיניות הפרטיות שהגדירו פועלת כהלכה.
לדבריו, פייסבוק לא פרסמה פרטים טכניים עמוקים מספיק, שיאפשרו להבין בדיוק רב את החולשה מנקודת מבט הנדסית. ההשלכות של החולשה חמורות במיוחד במקרה של פייסבוק, בשל טבע הקישור בין משתמשיה. כלומר, די בחשבון אחד שנפרץ כדי להשתלט על כלל חשבונות חבריו, על כלל חשבונות חבריהם וכן הלאה.
המבקש טען עוד כי סמך על מצגי פייסבוק בנוגע לאבטחת המידע שלה והפקיד בידה מידע אישי שלו במהלך 11 השנים האחרונות שבהן השתמש בשירותיה, ובכלל זה פרטיו האישיים, כתובות דואר אלקטרוני, חשבונות דוא"ל לשחזור, מספרי טלפון, תאריך לידה, סיסמאות, תשובות לשאלות אבטחה, אירועים ממהלך חייו, תמונות, סרטונים ועוד. לטענתו, פרצת האבטחה העמידה בסכנה גם את פרטי המידע האישי של העסק שלו, בדף העסקי בפייסבוק.
המבקש אמד את הנזק האישי שנגרם לו בסך של 1,000 שקלים, ובנוגע לנזקם של חברי הקבוצה שהוא מבקש לייצג טען שאין בידיו נתונים מדויקים על מספר המשתמשים בישראל שנפגעו כתוצאה מפרצת האבטחה, אך על פי הנתונים, ניתן להעמיד את כמות הנפגעים במדינת ישראל על סך של 232 אלף.
זאת, משום שנכון לסוף שנת 2017 היו בישראל 5,800,000 משתמשי פייסבוק, וכ-2.2 מיליארד משתמשים ברחבי העולם. החלק היחסי של הנפגעים (90 מיליון) מתוך משתמשי פייסבוק בעולם עומד על 0.04 (90 מיליון חלקי 2.2 מיליארד), והכפלת החלק היחסי (0.04) בכמות משתמשי פייסבוק בישראל (5.8 מיליון) שווה ל-232 אלף משתמשים.
משכך, טען המבקש שהנזק לכלל חברי הקבוצה מוערך בסך של 232 מיליון שקלים. המבקש טען שגובה הנזק הנטען נגזר גם מהמחיר שניתן לבקש ב"שוק השחור" (dark web) עבור פרטי מידע אישיים של המבקש וחברי הקבוצה. לטענתו, לצורך הערכת הנזק המצרפי המדויק שנגרם לחברי הקבוצה, יש צורך בקבלת נתונים מפייסבוק.
לטענת פייסבוק, בתשובתה לבקשת התביעה הייצוגית, ההתקפה נגדה היתה כרוכה בניצול חולשת אבטחה חבויה היטב, שלא היתה ידועה קודם לכן, שנבעה מאינטראקציה מורכבת ובלתי צפויה של שלושה רכיבים מובחנים של שירות פייסבוק, שאף אחד מהם לא יצר חולשת אבטחה בחשבון כשהוא עומד בפני עצמו.
שלושת הרכיבים של שירות פייסבוק שהיו מעורבים בהתקפה הם:
•View as specific user mode – הצג כמשתמש ספציפי.
• Happy birthday composer - רכיב המאפשר למשתמש אחד לאחל למשתמש אחר יום הולדת שמח על ידי פרסום הודעה, תמונה, או קטע וידאו בציר הזמן של המשתמש האחר.
• Video Uploader - רכיב המאפשר למשתמשים להעלות תוכן וידאו.
לדברי פייסבוק, החולשה התקיימה רק כשהיתה לתוקפים גישה לציר הזמן של משתמש באתר פייסבוק בהתקיים צירוף שלושת אלה: הדף של המשתמש (ציר הזמן) חייב להיות מוצג במצב View as specific user; יום ההולדת של המשתמש חייב היה להיות גלוי בציר הזמן כשניגשו אליו.
הדבר לא אמור לקרות אם, כפי שקורה לעיתים קרובות, יום ההולדת התרחש לפני זמן מה ואירועים שבאו אחריו בציר הזמן האפילו עליו, אלא אם כן ה-View as specific user גלל למטה בציר הזמן עד לאירוע יום ההולדת.
בנוסף, יום ההולדת של המשתמש לא נראה כלל אם המשתמש בחר שלא לשתף את תאריך הלידה שלו עם אחרים; ובנוסף, לפחות שלושה משתמשים אחרים שלחו למשתמש הודעות ליום הולדתו, שפורסמו בציר הזמן יחד עם אירוע יום ההולדת.
לטענת פייסבוק, התוקפים ביצעו את ההתקפה על ידי שימוש במספר מצומצם של משתמשים ראשוניים, כדי לגנוב טוקני גישה עבור מאגר גדול בהרבה של משתמשים שהיו מקושרים לאותם משתמשים ראשוניים כחברים. טוקני גישה אלו שימשו לאחר מכן כדי לגשת למידע בחשבונות של החברים.
פייסבוק טענה שהגיבה במהירות ובאפקטיביות להתקפה. לדברי החברה, ביום 26.9.18 גילתה כיצד התוקפים ניצלו את החולשה וכבר למחרת, פרסמה תיקון תוכנה לחולשה כדי למנוע מהתוקפים את האפשרות לגנוב טוקני גישה נוספים. התיקון פתר את החולשה ועצר את התוקפים.
פייסבוק אף נטרלה את רכיב ה-"View as" כאמצעי זהירות נוסף. כמו כן, פעלה פייסבוק במהירות להכיל את ההתקפה על ידי אבטחת חשבונות המשתמשים, כלומר מייד לאחר זיהוי החולשה זוהה ציבור המשתמשים שעלולים להיות מושפעים מהחולשה.
כ-90 מיליון משתמשים ענו לקריטריונים והם אלה שיש אפשרות שהושפעו. פייסבוק מיהרה לנתק את כל המשתמשים הללו כאמצעי זהירות, לפני שביצעה את הניתוח הנדרש לזיהוי המשתמשים שהושפעו מההתקפה בפועל. לאחר הטיפול בהתקפה, המשיכה פייסבוק לחקור ולנתח את ההתקפה והיקפה.
אין אינדיקציה שהתוקפים שמרו מידע
פייסבוק מצאה כי התקפה השפיעה על כ-29 מיליון משתמשים ברחבי העולם, שהשתייכו לאחת משלוש קבוצות:
קבוצה ראשונה – כ-15 מיליון משתמשים ברחבי העולם שהתוקפים ניגשו למספר הטלפון או לדוא"ל, או לשניהם, בהתאם למידע שבחרו המשתמשים למסור לפייסבוק.
קבוצה שניה - כ-14 מיליון משתמשים ברחבי העולם שהתוקפים ניגשו לפרטי קשר בסיסיים שלהם וכן לפרטים מסוימים אחרים מהחלק "אודות" בפרופילים שלהם, לרבות שם משתמש, שם פרטי, שם משפחה, שם מלא, מין ותאריך לידה, ובמידה שהשדות שהיו מאוכלסים גם מקום עבודה, השכלה, מערכת יחסים, השקפות דתיות, העיר בה גדל, עיר מגורים על פי דיווח עצמי ואתר אינטרנט.
כמו כן ניגשו התוקפים גם לפרטי מידע אחרים - מיקום/שפה, סוגי המכשירים שבהם משתמש המשתמש כדי לגשת לפייסבוק, 10 המקומות האחרונים שהמשתמש עשה בהם "צ'ק אין" או ש"תויג" בהם בפייסבוק, האנשים או הדפים שהמשתמש "עקב" אחריהם, ו-15 החיפושים האחרונים של המשתמש בסרגל החיפוש של פייסבוק, אם נעשו.
קבוצה שלישית - קבוצה קטנה מבין 29 מיליון המשתמשים המושפעים (בערך אחוז אחד) שהם המשתמשים ה"ראשוניים" כפי שתואר לעיל.
התוקפים ניגשו גם למידע נוסף כאמצעי הכרחי לביצוע ההתקפה - ציר הזמן בפייסבוק. כתוצאה מכך, נתונים על "פוסטים" של אותם משתמשים בצירי הזמן שלהם (כולל תגובות, תמונות וסרטונים) וכן מידע אחר שנועד להופיע בדפי האינטרנט, המכילים את צירי הזמן שלהם כאשר ניגשים אליהם במצבView as specific user.
לטענת פייסבוק, אין אינדיקציה שהתוקפים שמרו מידע נוסף זה או שהם היו מעוניינים בהשגתו. פייסבוק טוענת כי על פי כל הסימנים מהחקירה שביצעה, מטרת התוקפים היתה לאסוף טוקני גישה של משתמשים ולהשתמש בהם כדי לאסוף מידע שאליו ניגשו עבור קבוצות 1 ו-2, וכי גישה לצירי הזמן של המשתמשים הראשוניים במצב View as specific user היה רק אמצעי להשגת מטרה זו.
בנוסף, פייסבוק הבהירה שהמידע שהיה נתון בסכנה במסגרת ההתקפה לא כלל פרטי כרטיס אשראי, סיסמאות ומספרי זהות של משתמשים, והתוקפים לא חיפשו הודעות פרטיות שנשלחו באמצעות "מסנג'ר" כחלק מההתקפה.
לדברי פייסבוק, ביום 12.10.18 הודיעה החברה לכל משתמשיה ברחבי העולם שההתקפה לא כללה אפליקציות של צדדים שלישיים או חשבונות של פרסום או מפתחים. באותו יום עדכנה פייסבוק את 29 מיליון משתמשיה בעולם שחשבונותיהם הושפעו בפועל מההתקפה בהודעות אפליקציה פנימיות ומותאמות אישית, שפירטו מה סוג המידע שאליו הגיעו התוקפים ואילו צעדים יכולים המשתמשים לנקוט כדי להגן על עצמם.
גם המבקש קיבל ביום זה הודעה מפייסבוק, המודיעה לו מהו המידע הספציפי מחשבונו שהושפע מההתקפה, בהיותו שייך לקבוצה השנייה של משתמשים שהושפעו מההתקפה כאמור לעיל. באותו יום, פרסמה פייסבוק גם עדכון ב-Newsroom שלה, כדי לוודא שכל משתמשיה ברחבי העולם מעודכנים. העדכון כלל ממצאים בנוגע לחשבונות שהיו מעורבים בהתקפה ופרטים נוספים לגבי החקירה.
השופט דחה את הבקשה לייצוגית
השופט רניאל, שהחליט כאמור לדחות את הבקשה לתביעה ייצוגית, כתב בהחלטתו כי "אני דוחה את טענת המבקש שהיה על פייסבוק להציג את מלוא המידע אודות הסיכון הקיים לגניבת פרטי המידע האישי מכוח חובת תום הלב החלה עליה בהתאם לסעיף 39 לחוק החוזים.
״פייסבוק הציגה את מלוא המידע שברשותה קודם להתקפות והיא עושה כמיטב יכולתה לספק את המוצר המוגן ביותר, אך מוצריה ניתנים כמו שהם והיא אינה מתחייבת שמוצריה יהיו תמיד בטוחים או חפים מליקויים או שגיאות. תום הלב הוא להצהיר שהמוצר אינו בטוח ואינו חף משגיאות או ליקויים זה הסיכון הקיים לגניבת המידע, קודם שיודעים על התקפה ספציפית".
השופט כתב עוד כי "פייסבוק לא יכולה לגלות למשתמשיה מה שהיא עצמה אינה יודעת. אני מקבל את טיעונה של פייסבוק, שבעוד היא מנסה להגן על מלוא החזית ולבדוק כל חריגה בכל מאפיין ובכל צירוף של מאפיינים בכל מספר ובכל מצב, כדי שהתקפה תצליח היא צריכה להידחק דרך סדק אחד בלבד.
״פייסבוק אינה יכולה ואינה חייבת לצפות מראש את כל האפשרויות האינסופיות להתקפה. התוקפים ניצלו חולשת אבטחה חבויה מורכבת ובלתי צפויה שלא היתה ידועה קודם לכן. הצירוף הנדיר של שלושת המאפיינים שנכללו בחולשה והסבירות הקלושה לצירוף זה, מבהירים כמה היתה החולשה שנוצלה נדירה, מורכבת וקשה לחיזוי מראש.
"דומה שלדעת המבקש, זכותו הטבעית היא לנהל חשבון פייסבוק ולגלות בחשבונו את כל המידע האישי והכמוס, ואילו חובת פייסבוק לשמור בצורה מוחלטת על המידע שהוא החליט לגלות. לפי הראיות בפני, בידי המבקש להחליט איזה מידע לגלות ולמי ואין הוא חייב לגלות את המידע שאין הוא רוצה לגלות. מה שיגלה, לפי כללים שיקבע, יגלה על בסיס ההנחה, הגלומה בתנאי השירות, שיש בשירות פגמים ואין בטחון מוחלט שהמידע לא יזלוג".
״אין 100 אחוזי הגנה״
לדברי רם לוי, מנכ"ל ומייסד "Konfidas" - חברה לניהול משברי סייבר, "מדובר בהחלטה חשובה, שיכולה לספק קו הגנה לחברות רבות בנוגע לפריצות ותקיפות נגדן, הכרוכות בסכנה לגניבת מידע אישי של המשתמשים בהן.
״אין 100 אחוזי הגנה, בוודאי לא כאשר מתמודדים עם מדינות שיש להן יכולות גבוהות. אם חברת ענק כמו פייסבוק אינה חסינה ממתקפות, ודאי שלחברות קטנות יותר יהיה קשה מאוד להתמודד ולהגן באופן הרמטי מפני מתקפות כאלה. לכן, הציפייה שארגון קטן יוכל להתגונן מפני איום מדינתי היא ציפייה לא ריאלית.
"בעצם, בית המשפט אומר כאן שני דברים חשובים ביותר. אחד, אין 100 אחוזי הגנה ושתיים – המשתמשים צריכים להתעורר, להבין שאיש אינו מבטיח להם הגנה הרמטית על פרטיותם ושהאחריות על מעשיהם ברשת מוטלת גם עליהם.
״כדי לעשות את זה כדאי לכל אחד מאיתנו קודם כל להיות מודע לאפשרויות האבטחה שהרשתות החברתיות מציעות. הרי למה יש כל כך הרבה פריצות לחשבונות ברשתות החברתיות? כי רוב מוחלט של המשתמשים אינם מודעים ואינם מפעילים את אפשרויות האבטחה הבסיסיות ביותר שהרשתות הללו מציעות
"זו טעות גדולה לחשוב שהרשת או החברה שבה אנו מפקידים את פרטינו האישיים, לרבות מספרי אשראי וכולי, תגן עלינו הגנה מלאה והרמטית בכל מחיר. משום שככל הנראה מתישהו יפרצו שוב לפייסבוק, לאינסטגרם או לאתר הבנק לצורך העניין, עלינו להיות ערוכים ליום הזה.
"החברות, מצידן, בעיקר הרשתות החברתיות, שולחות הודעות אבטחה וכן עוזרות למשתמשים שמעוניינים כדי להגן על עצמם, גם בעזרת מדריכים שונים ותכנים אחרים שהן מפרסמות, הכרוכים בפעולות פשוטות שעוזרות למשתמש להגן על עצמו.
״יש אפשרויות נוספות כגון האימות הדו שלבי שחברות רבות משתמשות בו, הכולל למשל הודעת סמס לטלפון לאחר הקלדת היוזר והסיסמה, ואז יש צורך לפרוץ גם לטלפון של המשתמש, מה שמקשה על הפורצים.
״בנוסף, יש אפשרויות פיזיות כגון אפילו מפתח פיזי לא יקר שמתחבר למחשב או נצמד לטלפון וצריך ללחוץ עליו כדי להיכנס לחשבון. זה מעביר את הבעיה של הפורצים מהעולם הוירטואלי לעולם הפיזי, שכן מי שרוצה לפרוץ לחשבון שלך צריך ממש לגנוב את המפתח הפיזי הזה, מה שכמובן לא אפשרי לתוקף מאיראן, רוסיה או סין.
״בשורה התחתונה, מעבר לאחריות החברות שבהן אנחנו משתמשים, עלינו לגלות גם אחריות אישית כדי להגן על עצמנו וזה בהחלט אפשרי, לא יקר ולא מסובך".
