דליפת נתוני כרטיסי האשראי - מדריך מקוצר ללקוח המודאג

בימים האחרונים נודע, כי האקרים המציגים את עצמם כסעודים, פרצו למאגרי מידע ישראליים, וגנבו את פרטי כרטיסי אשראי, שמות, כתובות, מספרי טלפון ופרטים נוספים של 400,000 ישראלים.

בארץ פורסמו מספרים קטנים בהרבה. בנק ישראל הודיע על פריצת 15,000 חשבונות, חברות כרטיסי האשראי פרסמו מספרים קטנים אף יותר, ומנגד מומחי אבטחה ישראלים העריכו כי מדובר בעשרות אלפי חשבונות. כך או אחרת, מדובר במספר רב של ישראלים שנגנבו פרטי המידע שלהם במהלך החודשים האחרונים, וקיים סיכון ממשי שיעשה בנתונים שימוש לרעה.

שימוש לרעה בכרטיסי אשראי
מרבית הפרסומים בתקשורת נגעו בעיקר לכרטיסי האשראי, אך להבדיל מפריטי מידע וזיהוי אישיים שידונו בהמשך, דווקא בעניין כרטיסי האשראי, אין למר ישראלי סיבה לדאגה מיוחדת, למעט החובה לגלות עירנות מוגברת, ולבדוק היטב את פירוט העסקאות שבהן חשבונו מחוייב. על עירנות כזו מומלץ כמובן לשמור בכל ימות השנה, גם כשאין פרסומים בדבר פריצת האקרים למאגרי המידע.

חשוב לדעת: ללקוח יש מנגנוני הגנה
חוק כרטיסי האשראי מעמיד לרשות הלקוחות מספר מנגנוני הגנה מפני גניבת נתוני כרטיסי האשראי, ועשיית שימוש לרעה בהם. לקוח אשר נוכח לגלות בחשבונו חיוב בגין עסקה שהוא לא עשה ולא חתם עליה פיזית בחתימת ידו, יכול להודיע לחברת האשראי כי הוא מכחיש את קיום העסקה, וחברת האשראי חייבת להשיב לו את כספו בתוך זמן קצר. מנגנון זה מתאים היטב למקרה של גניבת נתוני ומספרי כרטיסי האשראי וביצוע עסקאות באינטרנט באמצעותן, בלא להחתים את הלקוח על שובר התשלום. עסקאות מסוג זה, בהן לא קיים שובר עסקה חתום בחתימת יד, מכונות בחוק: "עסקאות במסמך חסר".

חוק כרטיסי חיוב מגן על לקוחות חברות האשראי גם ברובד הגנה נוסף, וקובע שלקוח אינו אחראי לכל שימוש לרעה בכרטיס האשראי שלו, ובלבד שהוא מסר הודעה לחברת האשראי על גניבת נתוני הכרטיס שבידו לפני שנגרם כל נזק. אך גם אם לא הספיק הלקוח למסור הודעה לחברת האשראי בטרם שנגרם נזק, החוק קובע כי הלקוח יחויב בסכומים נמוכים יחסית, בדרך כלל בסדרי גודל של כמה עשרות שקלים.

בהתאם, גם בנק ישראל הזדרז לפרסם הודעה, לפיה: "הפיקוח על הבנקים מבקש להבהיר כי הלקוחות לא יישאו באחריות בגין שימוש לרעה בכרטיסים כתוצאה מחשיפת פרטיהם כאמור, בהתאם להוראות חוק כרטיסי חיוב. מכל מקום, הפיקוח ממליץ ללקוחות לבחון את החיובים בדף הפירוט או באתר האינטרנט של החברות לצורך איתור עסקאות שלא בוצעו על ידם...".

ספק אם ההאקרים הסעודים שביצעו את הפריצות גילו ברבים את כל החשבונות שעלה בידיהםם לפרוץ ולגנוב את הנתונים שהיו שמורים בהם. לכן מומלץ לגלות עירנות מוגברת לחיובים בגין עסקאות שהלקוח לא ביצע לא רק בעת הזו, אלא לאורך זמן, וכדבר שבשגרה.

גניבת זהות באינטרנט - מה ניתן לעשות?
על פי הפרסומים, עלה בידם של הפורצים לגנוב מאתרי האינטרנט השונים לא רק את פרטי כרטיסי האשראי, אלא גם שמות, כתובות, מספרי טלפון ופרטי מידע נוספים של ישראלים תמימים, אשר פרטי המידע אודותם אוחסנו במאגרי מידע של אתרי אינטרנט שונים.

קיים חשש, שפרטי מידע אלה יכולים לשמש בידי גורמים עבריינים לצורך גניבת זהותו של הקורבן. לעניין זה יצוין, כי מקרי גניבת זהות ברשת האינטרנט הפכה למגיפה ברמה הגלובלית. גורמים עבריינים לא רק מבצעים בדרך זו עסקאות של רכישת מוצרים באינטרנט, אלא הם פותחים חשבונות בנק תחת הזהות הגנובה, קונים בתים וכיוצ"ב.

חוק הגנת הפרטיות מחייב כל מי שמנהל מאגר מידע לאבטח את מאגר המידע ולנקוט אמצעי אבטחה שיתאימו לרמת רגישות המידע, בין היתר בדיוק מפני מקרים כמו אלה של חשיפת המידע בכוונת זדון.
העובדה כי התרחשה במאגרי המידע בארץ סדרה של אירועי אבטחת מידע, בכך שעלה בידי ההאקרים הסעודים לפרוץ למאגרי המידע השונים ולגנות את פרטי המידע, מעלה את החשש, כי מנהלי מאגרי המידע לא קיימו את חובותיהם כהלכה.

במקרה שיתברר כי בעלי מאגרי המידע ומנהלי האבטחה שלהם לא ביצעו לכאורה את מלאכתם כהלכה, יוכלו כל אותם נפגעים מחשיפת המידע והפרטים, לשקול את תביעת הנזקים שנגרמו להם- תוצאת אותה הפרת חובת אבטחת המידע כאמור.