פרשת ההאקר הסעודי
פרשת ההאקר הסעודי (נקראת גם פרשת כרטיסי האשראי) היא אירוע שהתרחש בתחילת שנת 2012, בה נחשפו באתר אינטרנט, פרטי כרטיסי אשראי ופרטים אישיים של רבבות ישראלים. האירוע התרחש כתוצאה מליקויים באבטחת המידע של אתרי אינטרנט ישראליים, בהם מוזנים פרטי כרטיסי האשראי של צרכנים. האחראי לאירוע הוא כפי הנראה קראקר סעודי, צעיר בן 19 תושב מקסיקו.
לאחר המקרה, התכנסו הכנסת ורשויות המשפט לדון בבעיית האבטחה החמורה שהתגלתה, במטרה למנוע ממקרה זה להישנות בעתיד, מחשש כי הפרטים האישיים של תושבי ישראל עלולים להיחשף הן בפני גורמים עבריניים והן בפני גורמי טרור ומדינות עוינות שיעשו שימוש בפרטים האישיים לזיוף זהויות.
תיאור האירוע
ב-2 בינואר 2012 פרץ עומאר חביב, אשר השתמש בכינוי '0xOmar', לאתר הספורט 'ONE', והפנה את המבקרים באתר לאתר אחר, שבו פורסמו 400 אלף מספרי כרטיסי אשראי של ישראלים, אשר אותם גנב לטענתו מאתרים ושרתים שונים בישראל. לאחר בדיקה, התגלה כי רבים מהשמות ברשימה בדויים, וכי רבים מהם חוזרים על עצמם עשרות פעמים, כך שלמעשה רשימת השמות שנחשפה הייתה מצומצמת יותר והסתכמה על פי ההערכות של חברות האשראי בכ-15,000 שמות בלבד, כולם לקוחות של החברות ישראכרט, לאומי קארד וכ.א.ל. לאחר לילה ארוך של בדיקת האירוע, חברות האשראי ביטלו את כרטיסי האשראי שנחשפו במטרה למנוע פגיעה בלקוחות. כמו כן פרסם בנק ישראל הודעה, כי הלקוחות לא יהיו אחראיים בשום מקרה, אם חלילה נעשה שימוש לרעה כתוצאה מחשיפת פרטי כרטיסי האשראי.
פרשת "ההאקר הסעודי" חשפה את המצב הלקוי ששורר במאגרי מידע מקוונים פרטיים רבים ברחבי ישראל. בעקבות פעילותם של האקרים, התברר כי פרטים אישיים של עשרות אלפי אנשים עלולים להיחשף בקלות יתרה בשל נוהלי אבטחה לקויים הקיימים בארגונים שונים וכי כל חנות מקוונת עלולה להוות נקודת תורפה של גולשים המשתמשים בשירותיה ומוסרים פרטים אישיים, כגון כרטיס אשראי, ותעודת זהות.
תקנות אבטחת מידע
בעקבות הפרשה פורסמו מספר תקנות בידי הרשות למשפט, טכנולוגיה ומידע ומחלקת ייעוץ וחקיקה במשרד המשפטים המסדירות את אחריותם של ארגונים על התמודדות עם אבטחת המידע בהתאם לחוק הגנת הפרטיות. התקנות קובעות נהלים שונים לטיפול במידע, החל מקביעת האחראי לטיפול באבטחת המידע - שאמור להיות כפוף רק למנכ"ל או לנושא משרה בכירה אחרת, וכלה בנוהלי האבטחה, הביקורות וההדרכות הדרושים. על פי התקנות הללו, ארגונים שסבלו מפריצה של קראקרים ודליפה של מידע, יחויבו לדווח על הפריצה לרשם מאגרי המידע, אשר יהיו בידיו סמכויות לחייבם למסור הודעה על כך לציבור שנפגע מהפריצה.
הצעות חוק בעקבות הפרשה
בעקבות הפרשה, התכנסה הכנסת ה-18 לדיון בנושא והעלתה מספר הצעות חוק.
- הצעת חוק הגנת הפרטיות (תיקון – דיווח על פריצה למאגר מידע), התשע"ב 2012
ב-20 בפברואר 2012 הועלתה הצעה לתיקון חוק הגנת הפרטיות ביוזמתם של חברי הכנסת: אורי אריאל, יעקב כץ, אורי מקלב ואורית זוארץ, לפיה "מוצע לחייב בעל או מחזיק במאגר מידע לדווח במקרה של פריצה לבעלי המידע שנגנב או נחשף, וכן להסמיך את הרשם לפי חוק הגנת הפרטיות, התשמ"א 1981, להטיל עיצום כספי לפי מפתח שיקבע שר המשפטים. הרשם יודיע לבעל מאגר המידע על החלטתו ויפרט בה את המידע הנמצא ברשותו אודות הפריצה, סכום העיצום, התקופה לתשלום העיצום ואת זכותו של בעל המאגר לטעון את טענותיו לפני הרשם. בעל מאגר המידע יוכל לערער על החלטת הרשם לבית משפט לעניינים מינהליים.
- הצעת חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (תיקון – ביטול המאגר הביומטרי), התשע"ב–2012
ב-21 במרץ 2012 הועלתה הצעת חוק לביטול המאגר הביומטרי ביוזמתם של חברי הכנסת: איתן כבל, דב חנין, ניצן הורוביץ, נחמן שי, מירי רגב, רחל אדטו ושלי יחימוביץ'. על פי הכתוב בדברי ההסבר לחוק, "מקרה חשיפת פרטי כרטיסי האשראי שאירע בעת האחרונה על ידי האקר מחוץ לישראל, מחזק את הטענות בדבר הסיכון הרב הטמון בקיום מאגרי מידע. במקרה של מאגר מידע ביומטרי, ההשלכות של חשיפת מידע או שימוש לרעה במידע עלולים להיות חמורים בהרבה עקב רגישותו הרבה של המידע ולאור העובדה כי בשונה מפרטי כרטיס האשראי, זהו מידע שלא ניתן להחליפו. כמו כן, קיום המאגר מעלה שאלות בדבר גניבת זהות וזיוף טביעת אצבע שעשויים להיות להם השלכות בלתי הפיכות. לאור האמור, מוצע לקבוע כי יש לבטל את הקמת מאגר המידע".
קישורים חיצוניים
- 09:39, הצעת חוק: חובת דיווח על פריצות האקרים למאגרי מידע, באתר TheMarker, 22 בפברואר 2012
- גיא קצוביץ', האם "ההאקר הסעודי" הוא בכלל עובד בית-קפה מקסיקני?, באתר גלובס, 6 בינואר 2012
- עודד ירון, משרד המשפטים: גופים יחויבו לדווח על פריצות למאגרי מידע, באתר הארץ, 3 ביוני 2012
- פרוטוקול הוועדה לאחר הפרשה, הצעת התיקון לחוק הגנת הפרטיות, הצעת חוק לביטול המאגר הביומטרי, באתר הכנסת
