הרשות להגנת הפרטיות נגד ישראכרט: טלפון נייד שהכיל מידע רגיש של מוקד שירות לקוחות - נגנב
הרשות להגנת הפרטיות נגד ישראכרט: טלפון נייד שהכיל מידע רגיש של מוקד שירות לקוחות - נגנב
הרשות קבעה, כי "מדובר באירוע אבטחת מידע חמור בו הפרה ישראכרט חוק הגנת הפרטיות". הטלפון נגנב על ידי עובד החברה, אבל ככל הידוע לא נעשה שימוש במידע שהיה עליו. ישראכרט: "מדובר באירוע מלפני שנה; פרטיות לקוחות החברה לא נפגעה ולא דלף כל מידע"
הרשות להגנת הפרטיות קבעה כי חברת כרטיסי האשראי ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת מידע חמור. מדובר באירוע שאירע אשתקד, ובמסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה. יודגש כי ככל הידוע לא נעשה שימוש במידע שהיה על הנייד, והעובד פירמט את המכשיר לצורך שימוש אישי בו. ככל הידוע, הרשות לא נקטה בסנקציות כנגד ישראכרט בעקבות המקרה.
הרשות הודיעה היום כי ביצעה הליך בדיקה בחברה, לאחר שישראכרט היא שדיווחה לה על כך שנגנב מכשיר טלפון נייד, אשר שימש את מוקד שירות הלקוחות. מכשיר הטלפון הנייד שימש מעין "מוקד ווטסאפ" אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. כתוצאה מכך, המכשיר הכיל מאות מסמכים עם מידע שהועבר לחברה על ידי הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.
מהרשות להגנת הפרטיות נמסר היום, כי ממצאי הליך הפיקוח שביצעה הרשות העלו כי במועד האירוע חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר ולמערכותיו נעשית רק בידי מי שניתנה לו הרשאת גישה למידע. "כמו כן, לא הקפידה החברה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע", מסרה הרשות.
כאמור, על אף האירוע החמור, חשוב לציין כי לא נמצאה שום אינדיקציה לכך שהמידע דלף בפועל, וככל הנראה מטרת גניבת המכשיר הייתה לשימוש בו במכשיר עצמו, ולא במידע שבו: מהתחקיר פנימי שביצעה ישראכרט עלה כי עובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו. על אף שלא דלף מידע, ברשות להגנת הפרטיות אומרים כי: "עצם החשיפה של המידע מעידה על חומרת האירוע נוכח רגישותו הרבה".
יצוין כי ישראכרט העבירה את ממצאי התחקיר הפנימי שערכה לידי הרשות ודיווחה על תיקון הליקויים הרלוונטיים הקשורים במכשיר הנייד. כמו כן, החברה איתרה, באמצעות מנגנוני אבטחה העומדים לרשותה ותחקור שביצעה, את העובד שגנב את המכשיר והשיבה את המכשיר תוך מספר ימים.
מישראכרט נמסר בתגובה: "כפי שעולה מהודעת הרשות, מדובר באירוע אבטחת מידע שטופל ודווח על ידי חברת ישראכרט. האירוע עצמו התרחש לפני למעלה משנה ביוני 2020, כאשר הלקחים מהאירוע יושמו מיידית ובצמוד לאירוע בפעילות החברה. יש לציין כי פרטיותם של לקוחות החברה לא נפגעה וכי לא דלף כל מידע. אנחנו בישראכרט נמשיך לבדוק את עצמנו, לדווח ולתקן ליקויים בשקיפות מלאה אם עולה הצורך, וזאת מתוך מחויבותנו ללקוחותינו כחברת כרטיסי האשראי המובילה בישראל".
