על האקרים תורכים ואשם תורם

ביום שישי שעבר געשה הארץ - ארד וולף דיווח בבלוג we-cms כי האקרים תורכים השתלטו על המרחב הוירטואלי הישראלי, פרצו למאגרי מידע ובזזו שלל מכל הבא ליד - פרטי דוא"ל וסיסמאות.

ולא, לא רק אתרים זניחים נפרצו, אתר לוחות המודעות homeless.co.il ואף אתר רשת הפיצריות פיצה האט נפרצו אף הם, והקהילה הוירטואלית נבוכה.

החשש הגדול של ציבור הגולשים, כמובן, הוא לא האפשרות של אותו האקר תורכי להזמין פיצה (ולשלם עליה מחשבונו, מאחר ופרטי האשראי לא נפרצו) אלא האפשרות של אותם האקרים להשתמש בסיסמאות אלו בכדי לחדור לחשבונות אחרים, כגון פייסבוק, ג'ימייל ושירותים פיננסיים כגון פייפאל.

החשש הוא לא חשש בעלמא - יותר מדי גולשים משתמשים באותה סיסמא ליותר מדי שירותים, והנזק האפשרי מגילוי סיסמת הדוא"ל הינו רב.

במצב זה, ברור שההתרעמות הראשונית הינה על אתרי האינטרנט - כיצד הללו לא דאגו לאמצעי אבטחה נאותים? מדוע (חי אלוהים מדוע) לא היו הסיסמאות מוצפנות?

אך האם האתרים עצמם פעלו לא כשורה?

את החיפוש אחר תשובה נתחיל בחוק הגנת הפרטיות, אשר מחייב בעל מאגר מידע לדאוג לאבטחתו.

אז יש לנו כתובות דוא"ל ויש לנו סיסמאות, אולי אפילו יש לנו כתובות מגורים, אך האם יש לנו מאגר מידע?

מאגר מידע מוגדר בסעיף 7 לחוק הגנת הפרטיות כ:

"מאגר מידע" - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט -
(1) אוסף לשימוש אישי שאינו למטרות עסק; או
(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;

האם הנתונים הנשמרים בשרת, כמות שהם, מהווים מאגר מידע? לדעתי לא.

ומה עם הסיסמא, תשאלו? לטעמי - הסיסמא של האתר, כשלעצמה, לא מסגירה כל מידע פרטי מעבר לאותם נתוני התקשרות. פיצה האט, למשל, שמרו את כתובת המשתמש אך לא כל פרטים מעבר לכך, הומלס כפי הנראה לא שמרו אפילו את המידע הזה.

אז חובה לאבטח את מאגר המידע, מכוח חוק הגנת הפרטיות, כנראה שאין לנו. מה לגבי אותה חובה להמנע מרשלנות הנקובה בפקודת הנזיקין?

סעיפים 35 ו- 36 לפקודת הנזיקין מציבים את החובה לנהוג בזהירות ולהמנע מלהזיק לאחר, בין אם במעשה ובין אם במחדל.

כפי הנראה לא נגרם כל נזק מעצם החדירה לחשבון המשתמש שלנו באתר פיצה האט, אך אם השתמשו בסיסמא הזו כדי להעביר כספים באמצעות חשבון הפייפאל שלנו, האם נוכל לטעון שהאתר התרשל כלפינו כאשר לא שמר על המידע כראוי?

לטעמי לא - נקודת המוצא בעיניי הינה שבעל האתר לא צריך להניח או לצפות שהסיסמא המשמשת אתכם להזמנת פיצה משמשת אתכם גם להעברת סכומי כסף ועסקאות "אמיתיות". מדוע אם כן בעל האתר צריך לשאת באחריות לכך שעקב הפריצה לאתרו, נעשה שימוש בחשבונכם באתר שונה בתכלית, אשר אין בינו לבין האתר מאום?

שימו לב - הנחת המוצא שלכם צריכה להיות שסיסמתכם גלויה לעיני בעל האתר: כאשר האתר אינו מצפין את הסיסמא משמע שגם מנהל האתר יכול לראות להנאתו את סיסמתכם. האם אתם בוטחים במנהל האתר עד כדי כך שתסגירו לידיו את פרטי חשבון הפייפאל שלכם?

אף לו היינו טוענים שקיים מבחינה משפטית קשר סיבתי בין הפריצה לאתר אחד, לבין השימוש בנתונים באתר אחר, סעיף 65 לפקודת הנזיקין קובע כי: "נתבע שגרם לנזק באשמו, אלא שהתנהגותו של התובע היא שהביאה לידי האשם, רשאי בית המשפט לפטור אותו מחבותו לפצות את התובע או להקטין את הפיצויים ככל שבית המשפט יראה לצודק" - לכאורה האחריות לשינוי הסיסמאות בין שירות לשירות, מוטלת על המשתמש ולא על בעל האתר.

גם אם נטען שיש, בכל זאת, אחריות מסויימת גם לבעל האתר (אשר היה עליו לכל הפחות להצפין את הסיסמאות) דומני שבמקרה זה ניתן יהיה לפנות לסעיף 68 לפקודת הנזיקין, הדן באשם תורם:

(א) סבל אדם נזק, מקצתו עקב אשמו שלו ומקצתו עקב אשמו של אחר, לא תיכשל תביעת-פיצויים בעד הנזק מחמת אשמו של הניזוק, אלא שהפיצויים שייפרעו יופחתו בשיעור שבית המשפט ימצא לנכון ולצודק תוך התחשבות במידת-אחריותו של התובע לנזק; אולם האמור בזה אין כוחו יפה להכשיל הגנה הנובעת מחוזה, ואם חל על התביעה חוזה או דין המגבילים את החבות, לא ייפרע התובע פיצויים למעלה מן הגבול שנקבע כאמור.

(ב) הופחתו הפיצויים לפי סעיף-קטן (א), יקבע בית המשפט וירשום את סך כל הפיצויים שהתובע היה יכול להיפרע אילולא אשמו.

(ג) הוראות הסעיפים 11 ו83- יחולו כל אימת שנמצאו שניים או יותר חבים לפי סעיף-קטן (א) על נזק שנגרם לאדם, או שהיו חבים אילו נתבעו לדין.

לטעמי - גם אם היה על בעל האתר להצפין את הסיסמאות ולדאוג לאבטחה נאותה של האתר, הרי שכאשר המשתמש אינו טורח לשנות את סיסמתו בהתאם לשירות (או לכל הפחות בהתאם לחשיבות השירות), אין לו על מי להלין אלא על עצמו.