You can learn everything about each of us, and easily
With the help of remote identification, a private investigator posing as a person involved in the divorce process was able to obtain information about accounts in two banks, three other financial institutions, and a credit card company.
We all trust the details of our most important personal assets, such as salary, investments and savings, to banks and insurance companies and rely on the protection of our data. We believe that these institutions will protect not only our money, but also our privacy - after all, who wants everyone to know how much money we have and where it is, what salary we have or what loans we have taken?
According to the Privacy Protection Act, companies that own this kind of information are required not to let it leak. However, from the story that happened not so long ago, it follows that, having received some data, for example, the address, phone numbers and identity cards (“teudat zeut”), which is not at all difficult to do, anyone can call one or another company where personal information in order to use it.
It was in this way that banks, insurance companies, an investment firm and a credit company provided a private detective, who identified himself as their client by the name of Amir (real name and surname are kept in the editorial office), detailed information about the client's account balance, savings, securities, loans, pension funds, training funds, payments, standing orders and credit cards.
This case, which Amir claims took place four and a half years ago, in the midst of his divorce proceedings, shows how easily a person was able to obtain sensitive personal information about someone else by contacting major Israeli financial institutions. This information was shared despite the fact that these entities acted within the framework of the identification procedures established by the Capital Market Authority and the Bank of Israel, the regulatory bodies that control these entities.
This story began when a woman who was getting divorced decided to turn to the services of a private detective, Roy Meridor, to find out the true financial situation of her “former”. Apparently, Meridor was provided with all the necessary details, since he was able, by contacting financial institutions, to introduce himself as an ex-spouse and collect all the information about him.
In November 2017, Amir suddenly discovered suspicious activity around his accounts and payments. Then he turned to the police, and in December 2017, Meridor was arrested. In his computer, they found correspondence with the customer, which contained reports on the work done, as well as various documents received by him from a number of institutions. The Private Investigators Act and the Privacy Protection Act prohibit impersonation of a specific person.
As a result, a criminal case was initiated against Meridor for violation of privacy, as well as for aggravated fraud in order to obtain private information. In 2018, he confessed to the crime, was convicted on 23 counts of invasion of privacy and lost his license. In June 2020, the Kfar Saba Magistrate's Court sentenced him to eight months in prison, a sentence that was later commuted to community service, as well as a fine of 15,000 shekels.
However, the story did not end there, because in addition to the criminal case against Meridor, the court is considering the claims that Amir filed against the Yahav and Beinleumi banks, the Phoenix and Migdal insurance companies, the Meitav Dash investment company and the credit company " Max". Lawsuits against each of the banks provide for the payment of 300 thousand shekels for invasion of privacy, material damage and moral injury; the plaintiff demands 160,000 shekels each from Phoenix and Migdal, Meytav Dash and Max.
According to the lawsuit, from the moment the police contacted the companies during the investigation and asked for recordings of conversations between a private detective and their support service, it became clear to them that they provided confidential personal information to a person to whom they had no right to provide this information at all.
According to Amir - and this is reflected in the document - the companies knew that they acted negligently and thereby allowed an encroachment on his privacy, but did not even bother to inform him in real time about what had happened and refused to hand over the records.
Explanations submitted to the court by the defense of the banks, insurance companies and investment firm stated that the claims should be dismissed as Amir filed them in March 2021 seeking compensation for incidents four years old when they expired two years later.
In addition, the defendants expressed the opinion that Amir was acting in bad faith, because he was suing them, and not his ex-wife or Meridor, although it was they who, acting illegally, invaded his private life, illegally obtained banking information and caused him damage. The companies deny the legitimacy of the lawsuits, seeking to disavow them and impose legal costs on Amir.
Amir believes that the defendants should be punished for negligence, inattention and connivance, and provides a number of evidence to support his arguments, when banks or insurance companies should have suspected something was wrong, but this did not happen. And, according to Amir, those appearing in the recording of conversations with his "double" clearly demonstrate this.
"Identification procedure outdated"
We asked to check the identification procedures of the Bank of Israel, which oversees banks, but the Central Bank said that the disclosure of procedures is prohibited. In practice, the decision on how to identify a client is determined by each bank in accordance with its risk management policy.
One bank may ask for a secret code, while the other is content with “grandma questions” (questions relating to the identity of the client, such as the name of his grandmother or the name of the elementary school where he studied). According to a source from one of the banks, if the client requests any information, and does not make certain monetary transactions, there are usually fewer identification requirements.
There is no uniformity in identification for credit and insurance companies, where the decision is made based on the specifics of a particular company. A number of insurance companies are content with the issue of the date of issue of the identity card; a number of credit card companies ask about recent credit card transactions; other companies, completing the identification process, send a one-time code to the customer's phone number provided to the company.
“This unfortunate incident shows how easy it is to break into the financial assets of each of us and steal our “digital identity,” says lawyer Naama Karpel, CEO of a privacy-focused NGO. – In an era when personal information is available on the Internet, it is very important to update and adapt security procedures, in particular identification procedures, to the reality in which we live.
Those who have been involved in Amir's story claim that he was not negligent and acted in strict accordance with established procedures, and the case of a private detective is an exception.
The defendants note that the private detective is not an ordinary user, but a professional who has resorted to skillful manipulation, and there are hardly any like him who are able to repeat such a trick, posing as another.
A source
Original message
О каждом из нас можно узнать все, причем легко
С помощью удаленной идентификации частный сыщик, выдававший себя за лицо, участвующее в бракоразводном процессе, смог получить информацию о счетах в двух банках, трех других финансовых структурах, и компании – эмитенте кредитных карт.
Мы все доверяем сведения о наших самых важных личных активах, такие как зарплата, инвестиции и сбережения, банкам и страховым компаниям и полагаемся на защиту наших данных. Мы верим, что эти учреждения защитят не только наши деньги, но и нашу частную жизнь – в конце концов, кто хочет, чтобы все знали, сколько у нас денег и где они лежат, какая у нас зарплата или какие кредиты мы взяли?
Если верить Закону о защите конфиденциальности, то компании, владеющие подобного рода информацией, обязаны не допускать ее утечки. Однако из истории, которая произошла не так давно, следует, что, получив некоторые данные, к примеру адрес, номера телефона и удостоверения личности («теудат зеут»), что сделать вовсе несложно, любой может позвонить в ту или иную фирму, где хранится персональная информация, чтобы ею воспользоваться.
Именно таким образом банки, страховые компании, инвестиционная фирма и кредитная компания предоставили частному детективу, назвавшемуся их клиентом по имени Амир (настоящие имя и фамилия хранятся в редакции), подробную информацию о балансе счета клиента, сбережениях, ценных бумагах, кредитах, пенсионных фондах, фондах повышения квалификации, платежах, постоянных поручениях и кредитках.
Это дело, которое, как утверждает Амир, имело место четыре с половиной года назад, в самый разгар его бракоразводного процесса, показывает, с какой легкостью человек смог получить конфиденциальную личную информацию о ком-то другом, обратившись в крупные израильские финансовые учреждения. Информация эта была передана, невзирая на то что указанные структуры действовали в рамках процедур идентификации, установленных Управлением рынка капитала и Банка Израиля – регулирующих органов, контролирующих эти организации.
История эта началась тогда, когда разводившаяся женщина решила обратиться к услугам частного детектива Роя Меридора, чтобы тот выяснил истинное материальное положение ее «бывшего». По всей видимости, Меридора снабдили всеми необходимыми подробностями, поскольку он смог, обратившись в финансовые учреждения, представиться экс-супругом и собрать всю информацию о нем.
В ноябре 2017 года Амир внезапно обнаружил подозрительную активность вокруг своих счетов и платежей. Тогда он обратился в полицию, и в декабре 2017 года Меридора арестовали. В его компьютере нашли переписку с заказчицей, где содержались отчеты о проделанной работе, а также различные документы, полученные им из ряда учреждений. Закон о частных детективах и Закон о защите конфиденциальности запрещают выдавать себя за конкретное лицо.
В итоге против Меридора было возбуждено уголовное дело за нарушение неприкосновенности частной жизни, а также за мошенничество с отягощающими обстоятельствами – в целях получения приватной информации. В 2018 году он признался в содеянном, был осужден по 23 пунктам обвинения за вторжение в частную жизнь и лишился лицензии. В июне 2020 года мировой суд Кфар-Сабы приговорил его к его к восьми месяцам тюремного заключения – наказанию, которое было впоследствии заменено на общественные работы, а также выплату штрафа в размере 15 тысяч шекелей.
Однако история на этом не закончилась, потому что помимо уголовного дела против Меридора суд рассматривает иски, которые Амир предъявил банкам «Яхав» и «Бейнлеуми», страховым компаниям «Феникс» и «Мигдаль», инвестиционной фирме «Мейтав Даш» и кредитной компании «Макс». Иски против каждого из банков предусматривают выплату по 300 тысяч шекелей за вторжение в частную жизнь, материальный ущерб и моральную травму; от «Феникса» и «Мигдаль», «Мейтав Даш» и «Макса» истец требует по 160 тысяч шекелей.
Как говорится в иске, с того момента, как полиция в ходе расследования связалась с компаниями и попросила записи разговоров частного детектива с их службой поддержки, им стало ясно, что они предоставили конфиденциальную персональную информацию лицу, которому вовсе не имели права эту информацию предоставлять.
По утверждению Амира – и это отражено в документе, компании знали, что действовали небрежно и тем самым допустили посягательство на его частную жизнь, но даже не удосужились сообщить ему в режиме реального времени о случившемся и отказались передать записи.
В объяснениях, представленных суду стороной защиты банков, страховых компаний и инвестиционной фирмы, говорилось, что иски должны быть отклонены, так как Амир подал их в марте 2021 года, требуя компенсации за инциденты четырехлетней давности, тогда как срок действия истек через два года.
Кроме того, ответчики выразили мнение, что Амир действует недобросовестно, поскольку судится с ними, а не с бывшей женой или Меридором, хотя именно они, действуя незаконно, вторглись в его частную жизнь, незаконным путем получили банковскую информацию и нанесли ему ущерб. Компании отрицают правомочность судебных исков, стремясь дезавуировать их и возложить на Амира судебные издержки.
Амир полагает, что ответчики должны быть наказаны за небрежность, невнимательность и попустительство, и приводит ряд доказательств, подтверждающих его доводы, когда банки или страховые компании должны были заподозрить неладное, но этого не произошло. И, как считает Амир, фигурирующие в деле записи разговоров с его «двойником» наглядно это демонстрируют.
«Процедура идентификации устарела»
Мы попросили проверить процедуры идентификации Банка Израиля, который осуществляет надзор за банками, но Центробанк заявил, что оглашение процедур запрещено. На практике же решение о том, как идентифицировать клиента, определяется каждым банком в соответствии с его политикой управления рисками.
Один банк может запросить секретный код, а другой довольствуется «вопросами о бабушке» (вопросы, касающиеся личности клиента, к примеру имя его бабушки или название начальной школы, где он учился). По словам источника одного из банков, если клиент запрашивает какую-либо информацию, а не совершает те или иные денежные операции, обычно требований по идентификации меньше.
Нет единообразия в идентификации и для кредитных и страховых компаний, где решение принимается, исходя из специфики конкретной компании. Ряд страховых компаний довольствуется вопросом о дате выдачи удостоверения личности; ряд кредитных компаний задает вопрос о недавних транзакциях по кредиткам; другие компании, завершая процесс идентификации, отправляют одноразовый код на номер телефона клиента, предоставленный компании.
«Это досадное происшествие показывает, как легко можно проникнуть в финансовые активы каждого из нас и украсть нашу «дигитальную личность», – говорит адвокат Наама Карпель, генеральный директор НКО, занимающейся вопросами конфиденциальности. – В эпоху, когда персональная информация доступна в интернете, очень важно обновлять и адаптировать процедуры безопасности, в частности процедуры идентификации, к реальности, в которой мы живем.
Те, кто был вовлечен в историю с Амиром, утверждают, что он не проявлял халатности и действовал в точном соответствие с установленными процедурами, а случай с частным детективом – это исключение.
Ответчики отмечают, что частный детектив – не обычный пользователь, а профессионал, прибегнувший к искусной манипуляции, и вряд ли найдутся ему подобные, которые в состоянии повторить такой фокус, выдавая себя за другого.
Источник