"פרצת אבטחה חמורה במאגרי המידע של הרשויות המקומיות"

חברת לולהטק, המחזיקה במאגרי המידע, חויבה בקנס של 25 אלף שקלים לאחר שכתוצאה ממחדל אבטחה באתריה נחשף מידע אישי של לקוחות ברשת

דנה לווינסקי | 24/11/21, 10:33

בעקבות פרצת אבטחה חמורה באתר האינטרנט של חברת לולהטק נחשפו פרטים ומידע אישי של לקוחות החברה. לאחר האירוע, פתחה הרשות להגנת הפרטיות בהליך פיקוח על החברה ומצאה ליקויים רבים. הרשות הטילה על החברה קנס בגובה 25 אלף שקלים. בנוסף הונחתה החברה לתיקון הליקויים שנתגלו במסגרת הליך פיקוח.

חברת לולהטק מחזיקה במאגרי מידע של רשויות מקומיות ובמסגרת כך מספקת להן שירותי פיתוח מערכות לבקרה ושליטה לניהול צוותי עבודה, פקחים, מערכות תווי חניה וכדומה. כתוצאה מפרצת האבטחה ניתנה אפשרות גישה למידע אישי של לקוחות החברה שכלל פרטים רבים ובהם שמות פרטיים ומשפחה, כתובת מגורים, מספרי וצילומי תעודות זהות, פרטי בני זוג, בעלות על רכב, תאריכי רישוי, תווי חניה ועוד.

במסגרת אירוע האבטחה, בעת הקלדת רצף תווים בהמשך לכתובת האתר, ניתן היה לגשת לפרטי מידע אודות תושבים במספר רשויות מקומיות, ללא הרשאה. פרטים אלו היו של משתמשים במערכות החברה. הגישה לפרטי המידע התאפשרה בעקבות יכולת גישה למבנה ה-URL באתר, באמצעות קוד המקור של העמוד.

60 מאגרי מידע שונים

ממצאי הפיקוח שביצעה הרשות העלו כי חברת לולהטק לא הפעילה אמצעי הגנה מתאימים, לא נקטה במנגנון אמצעי זיהוי רב-שלבי בעת אירוע האבטחה ולא נקטה בהליך פיתוח מאובטח של האפליקציה, כפי שנדרש בהתאם בתקנות הגנת הפרטיות (אבטחת מידע).

בנוסף, על פי הצהרותיה, חברת לולהטק משמשת כמחזיקה במאגרי מידע של למעלה מ-60 בעלי מאגרי מידע שונים. בהתאם לכך, עומדות לה חובות מוגברות לפי חוק הגנת הפרטיות ובפרט הבטחת הרשאה למורשי גישה, ודיווח שנתי לרשות להגנת הפרטיות אודות רשימת המאגרים שבאחזקתה.

הרשות להגנת הפרטיות קבעה כי החברה הפרה את החובה הכללית המוטלת עליה לאבטחת המידע והטילה כאמור על החברה קנס על סך 25 אלף שקלים. בנוסף, הרשות דרשה מהחברה לבצע שורה של פעולות מתקנות ובהן התאמת רמת אבטחת המידע לדרישות הקבועות בחוק ובתקנות, ביצוע סקר סיכונים במערכותיה ועריכת מבדקי חוסן לתשתיות טרם העלאת שירות או אפליקציה לאוויר.

כמו כן, הרשות דרשה מחברת לולהטק לדווח על התיקונים שביצעה לשם עמידה בחובותיה על פי חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), ובכלל זאת, נדרשה החברה לדווח לבעלי מאגרי המידע השונים שבהחזקתה אודות ביצוע חובותיה לפי התקנות. חברת לולהטק עדכנה את הרשות כי הקנס שהוטל עליה שולם, היא ביצעה את הפעולות המתקנות שהתבקשו ואף עדכנה את לקוחותיה בממצאי התחקיר של האירוע.

________________________________________

עו"ד איתי נווה

שתף את הכתבה ב:

חזור לכתבות בנושאי: חדשות, כלכלה, מרחבי האתר, צרכנות

חייגו עכשיו לעו"ד

לחץ להתייעצות עם עו"ד איתי נווה ישירות באמצעות וואצאפ

* עורך הדין מנוי באתר

רוצים להשאר מעודכנים בכל מה שחם בעולם המשפט?
הורידו את אפליקציית אוביטר:

אפליקציית אוביטר לאנדרואיד https://bit.ly/31H6hrk

אפליקצית אוביטר לאייפון https://apple.co/31GhGHV

לדף הפייסבוק שלנו https://bit.ly/32LKr5E

להצטרפות לאחת מקבוצות הוואטסאפ שלנו https://obiter.co.il/ask-lawyer

אתר החדשות המשפטיות obiter.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א' לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר office@obiter.co.il