מידע דלף מאפליקציית פייבוקס: "אין חשש לכספי המשתמשים"

משתמשי אפליקציית העברת הכספים פייבוקס של בנק דיסקונט קיבלו אתמול מייל שבו מודיעה החברה כי בעקבות תקלה "דלף מידע חלקי של משתמשים", אבל "האפליקציה בטוחה לשימוש" ו"המידע שנחשף אמנם כלל חלק מפרטי המידע הקיימים באפליקציה, אך לא פרטי מידע שהשימוש בהם עלול להסב לך נזק כספי". אבל מאחורי הטקסט הזה מסתתרות כמה שאלות. על חלקן נשיב כאן.

ˆ כמה משתמשים יש באפליקציה?

כמיליון בני אדם.

ˆ למה משמשת האפליקציה?

אורי לוין, מנכ"ל בנק דיסקונט | צילום: רמי זרנגר

בעיקר להעברות כסף בין אנשים. פייבוקס בולטת בעיקר באיסוף כספים לקבוצות, כמו ועדי הורים בבתי ספר ובגנים, איסוף מתנות וכו', אך גם להעברות בין אנשים פרטיים או מול עוסקים זעירים.

ˆ מה קרה?

עובד של פייבוקס התקין שרת חדש לאפליקציה באופן שגוי, ובעקבותיו דלף מידע חלקי של משתמשי האפליקציה לרשת. ייתכן שגורמים לא ידועים אספו את המידע. האירוע התרחש ב־19.1.

ˆ איך הגיב דיסקונט?

מיד לאחר בדיקת ממדי החשיפה עידכן הבנק את המשתמשים בפרטי האירוע בשקיפות ואף הוציא דיווח בורסאי שהבהיר כי התקלה לא נוגעת לחשבונות הבנק וללקוחות המנהלים בו חשבונות. הבנק המשיך לעדכן גם בעמוד הפייסבוק ודיווח על אפשרות של האטה בשימוש באפליקציה בגלל ריבוי משתמשים שמנסים להתחבר.

ˆ מתי זה קרה?

האירוע התגלה לפני שבוע וחצי, שעות ספורות לאחר התרחשותו, וטופל בבנק על ידי הנהלת הבנק ומומחי טכנולוגיה תוך עדכון מיידי וליווי של בנק ישראל ורשות הגנת הפרטיות.

ˆ איזה מידע דלף?

מידע על חלק מהמשתמשים, כמו כינוי משתמש, תאריך לידה, מספרי טלפון, שמות של קבוצות, סכומים שהעבירו המשתמשים וזהות המקבלים. בחלק מהמקרים דלפו 4 הספרות האחרונות של כרטיס האשראי, אך לא בהכרח בצמוד לשם המשתמש.

ˆ יש סיכון כספי?

על פי הודעה רשמית של בנק דיסקונט ובנק ישראל אין חשש לנזק כספי ישיר למשתמשים, והכספים שנאספו באפליקציה לא נחשפו.

ˆ הלקוחות זכאים לפיצוי?

תיאורטית לא, אך לפי הערכות נגד דיסקונט יוגשו בקשות לתובענות ייצוגיות שידרשו פיצוי ללקוחות.

ˆ מה עושה בנק ישראל?

הבנק נמצא בקשר רציף עם מערך הסייבר הלאומי ועם בנק דיסקונט כדי לוודא שהאירוע מנוהל ולמנוע הישנותו הן בפייבוקס והן באפליקציות המתחרות של פועלים (ביט) ולאומי (פיי).

ˆ מה צריך לעשות?

האפליקציה דורשת לצורך אבטחה מוגברת רישום מחדש והזנת קוד שיישלח לנייד. אין צורך לבטל את כרטיס האשראי, אם כי רשות הגנת הפרטיות ממליצה להחליף סיסמה באפליקציה.

ˆ האפליקציה בטוחה לשימוש כעת?

כן. הבנק שב ועידכן בפייסבוק כי "האפליקציה מאובטחת לחלוטין לשימוש וכי כספכם מוגן".