"אירוע אבטחה חמור" ממש לא הכי בטוח שיש: מידע אישי של לקוחות דלף מאתר כביש 6

הרשות להגנת הפרטיות קבעה כי חברת "דרך ארץ הייוויז", שמפעילה את הכביש, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו. בהליך האכיפה שביצעה הרשות עלה כי לא ננקטו כל הליכים שיכלו לגלות חולשת אבטחת המידע מבעוד מועד

ישי אלמקייס, חדשות כיפה 14/09/21 11:48 ח בתשרי התשפב

כביש 6, צילום: עין השופט הפקות
כביש 6, צילום: עין השופט הפקות

הרשות להגנת פרטיות הודיעה אתמול (ב') כי בעקבות דיווח של חברת "דרך ארץ הייווייז", מפעילת כביש 6 על אירוע אבטחה חמור שאירע בחברה, החלה הרשות בהליך אכיפה. במסגרת אירוע האבטחה התגלו חולשות אבטחת מידע באתר התשלומים שלה, אשר אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה. מהמידע שהעבירה החברה לרשות עולה, כי בעמוד שבו נמצא "תשלום חשבוניות" באתר החברה, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוחות ולחשבוניות עבר, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.

בשל העובדה שחברת "דרך ארץ הייווייז" לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות להגנת הפרטיות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.

הרשות להגנת הפרטיות מדגישה, כי משימת אבטחת המידע בחברות וארגונים אינה אירוע חד פעמי אלא תהליך מורכב ומתמשך, הדורש בדיקות עיתיות, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת. מאגר אבטחת המידע של חברת דרך ארץ הייווייז, הינו מאגר ברמת אבטחה גבוהה, ועל מאגרים ברמה זו חלות כלל תקנות הגנת הפרטיות .

בהתאם לממצאי הפיקוח קבעה הרשות, כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות.

מחברת 'דרך ארץ' נמסר לחדשות כיפה כי, "הנושא טופל בהתאם לדרישות המחמירות ביותר".

כתבות נוספות

/
המשך באמצעות
שכחתי סיסמה
אין לך שם משתמש באתר? צור חשבון
יצירת חשבון חדש

אני מאשר את תנאי השימוש באתר