היכן גר שר המשפטים אמיר אוחנה? כמה חשמל צורכים בבית משפחת גנץ בראש העין? מתי עמד ביתו הפרטי של מנכ"ל חברת החשמל עופר בלוך ריק? כל הפרטים זמינים לכם באתר חברת החשמל - לא רק על שלושת האנשים המכובדים הללו, אלא על כלל אזרחי ישראל, כולל חיבור בין מספרי זהות ושמות מלאים, כתובות, 4 ספרות אחרונות של כרטיס האשראי ועוד.
בקשה לתביעה ייצוגית נגד חברת חשמל על סך מיליארד שקל הוגשה הבוקר לבית המשפט המחוזי בתל אביב, על ידי עורכי הדין אור ירקוני ואורי אלדר. לפי הבקשה, הפירצה מפרה את חוק הגנת הפרטיות, ובגינה נטען כי יש לשלם פיצוי של 500 שקלים עבור כל לקוח פרטי של חברת החשמל – סכום שמגיע ל-1,038,500,000 ₪.
אתר שירות הלקוחות, שעלה לאוויר לפני כשנה, מאפשר לכל לקוח להירשם ולקבל שירות. אולם רמת האבטחה באתר כה נמוכה, שהיא מאפשרת לכל גולש להתחזות לכל לקוח אחר. כל מה שצריך הוא מספר הזהות של האדם שאליו רוצים להתחזות – שכידוע קל במיוחד להשיג באינטרנט, בעיקר לאחר הדליפות של פנקסי הבוחרים בפרשות "אגרון" ואלקטור.
בהדגמה שנערכה בפני NEXTER – הוקלדו לתוך אתר חברת החשמל מספרי הזהות של יו"ר הכנסת והרמטכ"ל לשעבר בני גנץ, שר המשפטים אמיר אוחנה, ואפילו מספר הזהות של מנכ"ל חברת החשמל, עופר בלוך. שלושתם, מסתבר, עוד לא היו רשומים לשירות, ולכן קל היה להירשם במקומם עם מספר טלפון שברשותנו. ללא שום סיסמא, אימות או בקשת פרטים נוספים, קיבלנו מיד את הקוד בסמס לטלפון שהכנסנו, ומאותו רגע זכינו בגישה מלאה לחשבונות עבר, לכתובת הפרטית, נתוני השימוש, חובות, 4 ספרות אחרונות של כרטיס אשראי ועוד. בעזרת האתר אפשר גם להזמין שירותים נוספים, לשלם חשבונות ולקבל מידע נוסף.
פירצה נוספת באתר מאפשרת לבעל מנוי קיים להפוך ל"איש קשר" של מנוי קיים אחר – שוב, ללא שום אימות או אישור מצד המנוי הקיים. ברגע שהפכת ל"איש קשר" – שוב, בעזרת מספר הזהות בלבד – אתה זוכה בגישה מלאה לכל נתוניו.
מה עושים עם הפרטים? נוכלים וספאמרים משתמשים בנתונים האלה כדי לרכוש אמון בשיחת טלפון, ולשכנע אנשים לספק להם פרטים נוספים בתואנות שונות. ל-NEXTER נודע כי עם משתמשים באתר של חברת חשמל נמנים גם חוקרים פרטיים או בעלי חוב, שמעוניינים להגיע לחייבים ולאתר את כתובותיהם. אין פשוט מזה – מכניסים מספר זהות, ומקבלים שם, כתובת פרטית, ונתוני חשבון חשמל, שיכולים להעיד האם נעשה שימוש בנכס.
"מדובר במקרה מזעזע של זלזול בוטה וחמור מאין כמוהו מצד חברת החשמל, הגורמת ביודעין לכך שמידע פרטי אודות לקוחותיה יהיה פרוץ לכל דורש. עקב רשלנותה הפושעת, ניתן לחדור בקלות בלתי נתפסת לפרטיהם האישיים של כל אחד ואחד ממיליוני הלקוחות של חברת חשמל, בניהם אף עובדי ציבור, שופטים, אנשי כוחות הבטחון, חברי כנסת, תאגידים ורשויות, ולהיחשף לכתובות מגורים, נתוני צריכה וחיוב, פרטי אמצעי תשלום ועוד.
חברת החשמל יודעת על פרצת האבטחה זה למעלה משנה, אך נראה כי הדבר אינו מטריד אותה שכן מדובר במונופול היודע שלקוחותיו הם קהל שבוי. רוב הסיכויים כי פרטים רבים ממאגר זה כבר דלפו בתקופה זו לידי גופים אשר עשויים לעשות שימוש בלתי ראוי במידע. עד מתי יזלזלו בשמירת המידע שלנו? נקווה שבית המשפט ימסור מסר ברור כי מידע אישי אינו הפקרות.", מסר עו"ד ירקוני, מגיש התביעה.
הפירצה נחשפה כבר לפני שנה על ידי רן בר זיק ב"הארץ". בתגובתה ל"הארץ" בזמנו, טענה חברת החשמל שמבחינתה לא מדובר בפירצה כלל, אלא בשירות לקוחות נוח שזכה לאישור גורמי אבטחת מידע.
חברת החשמל מסרה בתגובה: "לעניין הנתונים שע"פ פנייתכם נחשפו, העניין יבדק באופן מיידי. חברת החשמל מחוייבת לשמירת פרטיות הלקוחות ומפעילה אבטחת מידע מחמירה".