שתי פסיקות בישראל: אחת בעד פייסבוק – ואחת נגדה

שני פסקי דין ניתנו באחרונה בבתי משפט ישראליים, בתיקים משפטיים שבהם פייסבוק מעורבת. באחד מפסקי הדין התקבלו הטיעונים שלה ובאחר – לא.

פסק הדין החדש יותר, שפורסם אתמול (ג'), קובע שבמקרה שמוצר נקנה מחברה רב לאומית בישראל – יחול עליו הדין הישראלי. זאת, בניגוד לטענות של חברות רב לאומיות שלפיהן הן פועלות ממדינות זרות ולכן הדין הישראלי לא חל עליהן, גם במקרים שבהן העסקאות נעשות בארץ.

את פסק הדין קיבל בית המשפט העליון בתיק שהגישו יונתן טרוים וחברת טרוים מילר נגד פייסבוק, לאחר שרכשו ממנה פרסום. המבקשים מגיעים מתחומי האופנה והתרבות, וביקשו לפרסם מיזם חדש שלהם. לדבריהם, "שרשרת מחדלים" של פייסבוק פגעה קשות בחשיפה של העוקבים שלהם לפרסום, ובגלל זה סבלו שלושה ירידים שהם קיימו מנוכחות דלה של מבקרים.

פייסבוק טענה, מנגד, שהמבקשים הסכימו לתנאי השימוש שלה, שלפיהם עניינים משפטיים בין מי שמסכימים לאותם תנאים לבין החברה יתנהלו במקום מושבה – בקליפורניה.

התיק הגיע לבית המשפט העליון לאחר שעבר את הערכאות הנמוכות יותר – שם עמדת פייסבוק דווקא התקבלה. לעומת זאת, בדעת רוב של השופטים עופר גרוסקופף ויעל וילנר, אל מול דעת מיעוט של השופט ניל הנדל, נקבע כי התנאי שלפיו על עניינים משפטיים בין מפרסמים בפייסבוק לבין החברה להתנהל אך ורק בקליפורניה, ועוד בבית המשפט המחוזי של צפון המדינה, הוא תנאי מקפח ועל כן – בטל.

"חולשה עם השלכות חמורות במיוחד במקרה של פייסבוק"

בפסק דין אחר, שניתן באחרונה בבית המשפט המחוזי בחיפה, דחה השופט מנחם רניאל את בקשתו של בעל משרד עורכי דין מחיפה להכיר בתביעה שלו, שהוגשה לאחר שחשבון הפייסבוק שלו נפרץ, כמו גם עשרות מיליוני חשבונות של משתמשים אחרים, כתובענה ייצוגית. השופט קבע כי "פייסבוק אינה יכולה ואינה חייבת לצפות מראש את כל האפשרויות האינסופיות להתקפה".

מדובר בפסק דין שניתן בעקבות פרצת אבטחה שפייסבוק גילתה ב-25 בספטמבר 2018 ופרסמה מידע אודותיה שלושה ימים לאחר מכן. ביום הפרסום היא ניתקה כ-90 מיליון משתמשים וביקשה מהם להתחבר מחדש לחשבונם. לטענתה, כ-50 מיליון חשבונות נפרצו ואת יתר ה-40 מיליון היא ניתקה "ליתר ביטחון".

לאחר המתקפה, פייסבוק ניתקה כ-90 מיליון חשבונות. צילום: BigStock

המבקש, עו"ד אלי אקסלרוד, הגדיר את הקבוצה שבשמה הוא ביקש לקבל את ההכרה בתביעה שלו כתובענה ייצוגית כ-"כל מי שברשותו קיים ו/או היה קיים חשבון פייסבוק שנפרץ ו/או היה חשש שנפרץ" בעקבות אותה פרצת אבטחה.

לדבריו, החברה לא פרסמה פרטים טכניים "עמוקים מספיק", שיאפשרו להבין "בדיוק רב" את החולשה מנקודת מבט הנדסית. לטענתו, כפי שמובאת בפסק הדין, ההשלכות של החולשה חמורות במיוחד במקרה של פייסבוק, בשל טבע הקישור בין משתמשיה – חיבוריות בין חברים. כלומר, די בחשבון אחד שנפרץ כדי להשתלט על כלל חשבונות חבריו, ועל כלל חשבונות חבריהם וכדומה.

עו"ד אקסלרוד טען כי פייסבוק כשלה והתרשלה בנקיטת פעולות המתחייבות להגנת המידע האישי של משתמשיה, ובעוד שהיא טוענת שהיא עושה "כל שביכולתה" כדי להגן על מידע זה – במקרה המדובר היא לא עשתה כן. יתרה מזאת, ציין, פייסבוק טרם העריכה את מלוא היקף התופעה, על אף שטענה שהפגיעות תוקנו.

כמו כן, הוא טען שיש כאן הפרת חוזה בין פייסבוק למשתמשים והפרה של חוק הגנת הצרכן. המבקש העמיד את סכום התביעה על 232 מיליון שקלים.

פייסבוק: התוקפים ניצלו חולשת אבטחה חבויה היטב

לעומת זאת, פייסבוק טענה שההאקרים תקפו במתקפה זו תוך ניצול חולשת אבטחה חבויה היטב, שלא הייתה ידועה קודם לכן. היא ציינה כי החולשה התקיימה רק כשהייתה לתוקפים גישה לציר הזמן של המשתמש, במצב View as specific user, וכשיום ההולדת שלו היה גלוי בציר הזמן.

לטענת פייסבוק, היא הגיבה במהירות ובאפקטיביות להתקפה. לדברי החברה, היא פרסמה תיקון לחולשה יום לאחר שגילתה אותה. כמו כן, היא פעלה במהירות להכיל את ההתקפה על ידי אבטחת חשבונות המשתמשים, כלומר: זיהתה אותם וסגרה את חשבונותיהם.

עוד טענה הרשת החברתית שאין אינדיקציה שהתוקפים שמרו מידע נוסף, לבד מגישה למשתמשים מסוימים ודרכם לחברים שלהם. בנוסף, החברה הבהירה שהמידע שהיה נתון בסכנה במסגרת ההתקפה לא כלל פרטי כרטיס אשראי, סיסמאות ומספרי זהות של משתמשים, והתוקפים לא חיפשו הודעות פרטיות שנשלחו באמצעות מסנג'ר.

"פייסבוק עושה כמיטב יכולתה לספק את המוצר המוגן ביותר"

השופט רניאל דחה, כאמור, את הבקשה להכיר בתביעה כייצוגית וכתב כי "פייסבוק הציגה את מלוא המידע שברשותה קודם להתקפות, והיא עושה כמיטב יכולתה לספק את המוצר המוגן ביותר. אלא שמוצריה ניתנים כמו שהם והיא אינה מתחייבת שהם יהיו תמיד בטוחים, או חפים מליקויים או שגיאות".

הוא הוסיף כי "התוקפים ניצלו חולשת אבטחה חבויה מורכבת ובלתי צפויה, שלא הייתה ידועה קודם לכן".

עוד כתב השופט כי "דומה שלדעת המבקש, זכותו הטבעית היא לנהל חשבון פייסבוק ולגלות בחשבונו את כל המידע האישי והכמוס, ואילו חובת החברה לשמור בצורה מוחלטת על המידע שהוא החליט לגלות. בידי המבקש להחליט איזה מידע לגלות ולמי ואין הוא חייב לגלות את המידע שאין הוא רוצה לגלות. מה שיגלה, לפי כללים שיקבע, יגלה על בסיס ההנחה, הגלומה בתנאי השירות, שיש בשירות פגמים ואין ביטחון מוחלט שהמידע לא יזלוג".

רם לוי, מנכ"ל קונפידס. צילום: דרור סיתהכל

רם לוי, מנכ"ל ומייסד קונפידס, התייחס לפסק הדין ואמר כי "מדובר בהחלטה חשובה, שיכולה לספק קו הגנה לחברות רבות בנוגע לפריצות ותקיפות נגדן, הכרוכות בסכנה לגניבת מידע אישי של המשתמשים בהן. אין 100% הגנה. חברת ענק כמו פייסבוק אינה חסינה ממתקפות, ודאי שלחברות קטנות יותר יהיה קשה מאוד להתמודד ולהגן באופן הרמטי מפניהן".

"עוד דבר חשוב שבית המשפט אמר כאן הוא שהמשתמשים צריכים להתעורר, להבין שאיש אינו מבטיח להם הגנה הרמטית על פרטיותם ושהאחריות על מעשיהם ברשת מוטלת גם עליהם. כדי לעשות את זה, כדאי לכל אחד מאיתנו קודם כל להיות מודע לאפשרויות האבטחה שהרשתות החברתיות מציעות. הרי למה יש כל כך הרבה פריצות לחשבונות ברשתות החברתיות? כי רוב מוחלט של המשתמשים אינם מודעים ואינם מפעילים את אפשרויות האבטחה הבסיסיות ביותר שהרשתות הללו מציעות", הוסיף לוי.

הוא ציין כי "זו טעות גדולה לחשוב שהרשת או החברה שבה אנו מפקידים את פרטינו האישיים, לרבות מספרי אשראי, תגן עלינו הגנה מלאה והרמטית בכל מחיר. ככל הנראה, מתישהו יפרצו שוב לפייסבוק שלנו, לאינסטגרם או לאתר הבנק שבו אנחנו מפקידים את כספינו, ועלינו להיות ערוכים ליום הזה".