תביעה בסך 373 מליון ש"ח נגד חברת ישראכרט

בבסיס התביעה עומדת טענה לפרצת אבטחה חמורה, שגררה לכאורה הפסדים כבדים לציבור גדול של בעלי עסקים בארץ.

אבי חיים , כ"ח באייר תשע"ב

התאגדו. ישראכרט
התאגדו. ישראכרט
יח"צ  

תביעה ייצוגית על סך 373 מיליון שקלים, הוגשה היום (ראשון) נגד חברת ישראכרט, ע"י עו"ד אלדר אדטו, לביהמ"ש המחוזי בתל אביב.

בבסיס התביעה עומדת טענה לפרצת אבטחה חמורה, שגררה לכאורה הפסדים כבדים לציבור גדול של בעלי עסקים בארץ, כתוצאה מעסקאות שנעשו באינטרנט ('עסקאות במסמך חסר').

את הבקשה להכיר בתביעה כתובענה ייצוגית הגיש עו"ד אדטו בשם בעלי אתר הקופונים 'סקופון' אשר בחודשים האחרונים שמו לב למספר רב של עסקאות אשר בוטלו בדיעבד באתרם, תחת ההגדרה 'עסקאות מוכחשות', ואשר גרמו להם, לטענתם, הפסד כספי לא מבוטל.

במסגרת התביעה תיעדו התובעים, בין השאר בסרטי וידאו, את הקלות הבלתי נסבלת, לכאורה, של הונאת האשראי, שניתן היה לעורכה לטענתם, כמעט בכל אתר ישראלי ברשת המאפשר קניית מוצרים, הזמנת שירותים או תשלום קנסות וחשבונות.

התובעים הדגימו בסרטים כיצד כל אדם בישראל יכול לרכוש, לכאורה באין מפריע, כרטיסים למופעי בידור, כרטיסי טיסה וחבילות נופש, מוצרי מזון, מוצרי חשמל, ושירותים שונים  - ואפילו לשלם חובות, אגרות וקנסות – כל זאת בעלות של עשרות אלפי שקלים - מבלי שהעלויות ייפלו עליו, ומבלי שניתן יהיה לאתרו ולהיפרע ממנו.

בתביעה נטען כי פרצת האבטחה מתאפשרת ברוב האתרים המאפשרים סליקה.

לדברי התובעים, מתחייבת חברת ישראכרט בפני עסקים הסולקים באמצעותה, לערוך בדיקה להתאמת פרטי האשראי בכל עסקה ועסקה, ואכן קיימת הפסקה של עשרות שניות לעיתים, עד לקבלת האישור לעסקה, למרות שהתברר לכאורה, שרוב הפרטים למעשה כלל לא נבדקים.

לדברי התובעים, מנכ"ל ישראכרט והאחראי על האבטחה בחברה נפגשו עמם לפני מספר שבועות, ושמעו מהם על הפרצה, אך מאז ועד עתה לא פעלו לתיקונה, ולא סיפקו הסבר מדוע.

התובעים מציינים בתביעתם שרק חברת ישראכרט וחברת דיינרס מספקות כיום מערכות סליקה לאינטרנט – וזאת בשל העובדה שרק הן מורשות לסלוק את כלל כרטיסי האשראי הקיימים בשוק. מסיבה זו הפכה מערכת הסליקה של ישראכרט, בה נמצאה פרצת האבטחה, למערכת הפופולארית ביותר בישראל לסליקה באינטרנט, ועל כן, לטענת התובעים, מהווה פרצת האבטחה אותה גילו,  פגיעה כה משמעותית במסחר על גבי רשת האינטרנט.

התובעים מעריכים בתביעתם שככל הנראה מתבצעות אלפי עסקאות בכל חודש על ידי אנשים הנהנים ממוצרים ושירותים, וכלל לא משלמים עליהם מכיסם, אלא מספקים נתונים שגויים, מכרטיסי אשראי שאמנם קיימים בפועל, אך אינם כרטיסים שבבעלותם.

לדברי עו"ד אלדר אדטו, רבים ממחזיקי כרטיסי האשראי בישראל כלל לא עוברים על פירוט העסקאות החודשי המגיע אליהם בדואר. חרף כך, חלק מבעלי כרטיסי האשראי אכן מזהים עסקאות חשודות, שייתכן וכלל לא בוצעו על ידם.

במקרים שכאלה זכאי בעל הכרטיס להתכחש לעסקה במהלך 30 הימים מקבלת הפירוט מחברת האשראי. אם בעל הכרטיס לא שם לב לחיוב השגוי לכאורה, הוא לא מערער על העסקה, ולמעשה מאפשר למבצע העסקה ליהנות על חשבונו.

אם בעל הכרטיס מבחין בעסקה ומתכחש לה – העסקה זוכה לסטטוס של עסקה מוכחשת, הכסף מוחזר לבעלי הכרטיס, אך לא גורר כל הפסד לחברת ישראכרט, אלא יורד מחשבונו של בעל העסק בו נרכש המוצר או השירות, אשר משלם בנוסף גם עמלת הכחשת עסקה לישראכרט. 

התובעים טוענים בתביעתם, כי הנזקים שנגרמו למוסדות, חברות ויחידים, כתוצאה מפרצת האבטחה, שייכים לשלושה סוגי נזק לפחות:

א.    בעלי זירות מסחר באינטרנט שעסקאותיהם הוכחשו, לא זוכים לקבלת כספם חזרה, בעוד שהמוצרים והשירותים שבעדם חייבו את הלקוחות – לא חוזרים לידיהם, ולא ניתן כל פיצוי על אובדנם.

ב.     חברת ישראכרט מחייבת כל עסקה מוכחשת בעמלה בגובה 2% מערך העסקה. העמלה יורדת מכיסו של בית העסק שבו נערכה העסקה המוכחשת – ומהווה הפסד נוסף מעבר לנזק שנגרם לו בלאו הכי.

ג.       אזרחים רבים כלל לא מודעים כי נעשה שימוש במספר האשראי שלהם לביצוע עסקאות שונות, וכתוצאה מכך, העסקה כלל אינה מוכחשת – ועבריינים חוגגים על חשבונם של אזרחים תמימים רבים.

עו"ד אלדר אדטו אשר הגיש בקשה להכיר בתביעה כתובענה ייצוגית, אומר כי בחר להגיש את התביעה רק על הנזקים שככל הנראה נגרמו למוסדות ועסקים בשל ביטול העסקאות, מבלי לכלול בתביעה את הנזקים שנגרמו לכאורה גם לבעלי כרטיסים תמימים, שלא הבחינו כי נעשה שימוש זדוני בחשבונם, ושילמו בלי משים את המחיר, נזק כשלעצמו עלול להגיע גם הוא למיליוני שקלים.

לדבריו, השימוש בפרצת האבטחה הוא מעשה פלילי של גניבה לכל דבר ועניין, אך הפרצה, ודיווחי ישראכרט לבית העסק, לא מאפשרים למוסד או החברה ממנה נרכשו המוצרים או השירותים, לדעת מיהו בדיוק הרוכש שרכש ממנה אותםלמעשה, מצב זה מקשה על אותם בעלי עסקים או מוסדות, לאתר רוכשים פיקטיביים, ולדרוש מהם תשלום, אלא אם כן מופעל מאמץ בלשי מאד משמעותי, שעלותו גבוה לעיתים קרובות מהשירות או המוצר שנגנב.

התובעים מעריכים את הנזקים שנגרמו למוסדות ולבעלי עסקים, לאורך 7 השנים האחרונות, בכ-373 מיליון ₪, לדבריהם, זוהי הערכת חסר – הננקטת מתוך הערכה זהירה ושמרנית.

לטענתם, גילו בעלי אתר סקופון שלוש עסקאות שהוכחשו, שנעשו באותו כרטיס אשראי, כשבכל פעם ניתנו בצדו מספרי זהות שונים. בעבודת בילוש הצליחו התובעים להגיע אל מי שביצע את העסקאות.

להפתעתם גילו השניים כי מדובר בנערה קטינה, אשר בין השאר הזמינה וקיבלה לידיה תכשיטי זהב בעלות של אלפי שקלים. מיותר לציין כי בעלי כרטיס האשראי האמיתיים התכחשו לעסקה.

בשיחה עם הורי הנערה ועימה, גילתה הנערה לבעלי האתר את שיטת ההונאה, שהפתיעה אותם בצורה מוחלטת.

הנערה הראתה להם, לדבריהם, כיצד ניתן לרכוש מוצרים ושירותים רבים, באין ספור אתרי אינטרנט, תוך פברוק כל פרטי הזיהוי המבוקשים – כולל מספר זהות, שם פרטי, שם משפחה ומספר אבטחה הרשום בגב הכרטיסים CVV)).

לדברי השניים, הם מיהרו והתקשרו לישראכרט על מנת להתריע על פרצת האבטחה שנגלתה לעיניהם.

לדבריהם, נקבעה לשניים פגישה עם מנכ"ל ישרכארט דב קוטלר, ועם האחראי על האבטחה בחברה, ובאותה פגישה הובטח להם כי הנושא יטופל.

"התשובה אשר קיבלו התובעים ממנכ"ל ישראכרט ומנהליו לא סיפקה אותם" אומר עו"ד אלדר אדטו המייצג את התובעים, "נראה היה להם כי בחברת ישראכרט אדישים לפרצת האבטחה, ואף אינם מופתעים ממנה, ובכל זאת, כך התרשמו, לא עושים כביכול דבר על מנת להביא לתיקונה".

כעבור כמה ימים, ולאחר שפנו אל אשת השיווק האחראית על מערכת הסליקה שלהם, תוקנה פרצת האבטחה באתר סקופון, ומאותו רגע לא ניתן היה לרכוש באתר כל מוצר או שירות בלי אימות של פרטי חיוב האשראי.

מפעולה זו הבינו התובעים לדבריהם, כי חברת ישראכרט מסוגלת לבדוק את התאמת פרטי הכרטיס בכל עסקה ועסקה ברשת, ולא לאפשר עסקאות פיקטיביות, אך משום מה, בחרה החברה שלא לעשות כן בעשרות ובמאות אתרים אחרים ברשת, הפרוצים לכל דכפין.

התובעים ניסו לגלות האם הפרצה תוקנה, אך הופתעו לגלות כי ניתן להמשיך ולרכוש באין מפריע מאות מוצרים ושירותים ברשת האינטרנט תוך מסירת פרטים שגויים במכוון.

התובעים חברו לעו"ד אלדר אדטו, והחלו לאסוף ראיות לפרשה. במסגרת התביעה, צילמו התובעים כיצד הם נוטלים פרטי אשראי מלאים, המצוינים על ספח הזמנת משלוח של פיצה האט (העסקה נערכה באמצעות כרטיס אשראי שלהם לצורך הניסוי). באמצעות פרטי האשראי (מספר, ותאריך תפוגה) ביצעו התובעים מספר רב של עסקאות עם שמות בדויים ופרטי זהות מפוברקים.

בין העסקאות, הצליחו השניים, להזמין נסח טאבו, באמצעות אתר משרד  המשפטים, על שמו של דוד בן גוריון, רכשו כרטיס לנופש, רכשו קופונים למסעדות באתר הקופונים הישראלי של גרופון, ועוד, כמובן תוך ביטול העסקאות מבעוד מועד, תוך נשיאה בעלות הביטול.

בסרטים אותם צילמו התובעים, נראה כיצד הם מקבלים אישור לעסקאות במייל, ולמעשה פתוחה בפניהם הדרך לאסוף את השירות או המוצר, ולחמוק מתשלום, על חשבון פרטי האשראי אותם "גנבו" מספח פיצה האט אותה רכשו.

לדברי עו"ד אדטו, בעקבות פרסום פרטי האשראי של אלפי ישראלים ברשת בפרשת ההאקר הסעודי, לא צריכים גורמים פליליים להתאמץ ולפשפש בפחי האשפה בסמוך לפיצריות, אלא פשוט לחפש במנועי החיפוש רשימות עם פרטי אשראי ישראלים, ולבצע באין מפריע שלל עסקאות זדוניות.

לדברי עו"ד אלדר אדטו, לא ברור מדוע חברת ישראכרט פועלת בדרך בה היא פועלת, זאת לאחר שהוכח שהיא מסוגלת, רק אם תרצה, להבטיח כי לא ייערכו כל עסקאות בפרטי אשראי בדויים בכל אתר בו היא עורכת סליקה.

לדבריו, ייתכן והעלויות לבדיקת כל עסקה באינטרנט גבוהות עבור החברה, ייתכן והדבר יאט מאד את פעולת הסליקה הקיימת, וייתכן שהסיבה לאי חסימת הפרצה היא אחרת – אך מה שבטוח הוא, שבין היתר, מי שמרוויח מהמצב היא חברת ישראכרט הגובה כ-  2% עמלה מכל עסקה מוכחשת.

לדברי עו"ד אלדר אדטו, חברת ישראכרט סולקת עסקאות ב-60 מיליארד ₪ בשנה. כ-10% מהעסקאות נערכות באינטרנט, ומתוכן, כחצי אחוז עד אחוז – מוכחשות.

לדבריו, העמלות שגובה חברת ישראכרט רק בשל הכחשת עסקאות באינטרנט, על פי מאזניה, עומדים על כמיליון שקלים בשנה. לדבריו, חברת ישראכרט נהנתה מתזרים של  7 מיליון שקלים בשבע השנים האחרונות – רק בשל עמלות על הכחשת עסקאות שנעשו ככל הנראה, בשיטה אותה זיהו התובעים.

עו"ד אדטו מעריך את נזקם הכולל של בעלי אתר סקופון, התובעים, ב-1,231 שקלים, נזק הכולל אובדן סחורה ותשלום על עמלות. על כן הנזק הכללי המוערך לגבי כלל בעלי העסקים שסיפקו מוצרים ושירותים ברשת האינטרנט בישראל במהלך שבע השנים האחרונות הוערך ע"י עו"ד אדטו בכ-373 מיליון שקלים – וזהו הסכום עליו הועמדה התביעה הייצוגית שהוגשה אתמול.