מכוניות חונות. צילום: GettyImages

אירוע אבטחה חמור: פרטי לקוחות של ענקית השכרת הרכב נחשפו במתקפת סייבר

ענקית השכרת הרכב הודיעה כי מידע רגיש של לקוחות נגנב דרך ספק שירותים • נגנבו שמות, תאריכי לידה, פרטי קשר, רישיונות נהיגה ומספרי כרטיסי אשראי • המתקפה בוצעה על ידי כנופיית כופרה רוסית ידועה • אלפי לקוחות ברחבי העולם עלולים להיפגע

ענקית השכרת הרכב הרץ החלה אתמול (שני) להודיע ללקוחותיה על פריצת נתונים שכללה את המידע האישי שלהם ורישיונות הנהיגה, כך דווח באתר TechCrunch. האירוע מצטרף לשורה של מתקפות סייבר מתוחכמות הפוגעות בחברות גלובליות באמצעות מה שמכונה "מתקפות שרשרת אספקה".

על פי ההודעות שפורסמו באתר החברה, הפריצה קשורה למתקפת סייבר על אחד מספקי השירות של הרץ, חברת Cleo Software, שהתרחשה בין אוקטובר 2024 לדצמבר 2024. המידע שנגנב משתנה לפי אזור, אך כולל בעיקר שמות לקוחות, תאריכי לידה, פרטי קשר, רישיונות נהיגה, פרטי כרטיסי תשלום ותביעות פיצויי עובדים.

חברת הרץ. , צילום: GettyImages

החברה ציינה כי מספר קטן יותר של לקוחות חוו גניבה של מספרי ביטוח לאומי, יחד עם מספרי זיהוי ממשלתיים אחרים. הודעות נשלחו ללקוחות באוסטרליה, קנדה, האיחוד האירופי, ניו זילנד ובריטניה.

דוברת הרץ, אמילי ספנסר, סירבה למסור ל-TechCrunch את המספר המדויק של הלקוחות שנפגעו מהפריצה, אך ש"לא מדובר בדיוק מיליונים" של לקוחות. עם זאת, החברה דיווחה כי לפחות 3,400 לקוחות במדינת מיין בלבד הושפעו, מה שמרמז על פגיעה נרחבת הרבה יותר.

כיצד התרחשה הפריצה?

הרץ ייחסה את הפריצה לספק שירותים בשם Cleo Software, שבשנה שעברה היה במרכז מסע פריצות המוני מצד כנופיית כופרה רוסית מפורסמת בשם Clop. החברה היא אחת מעשרות חברות שהשתמשו בשירותי Cleo Software בזמן גניבות הנתונים.

כנופיית הכופרה Clop טענה בשנה שעברה כי ניצלה פרצת אבטחה מסוג "zero-day" (פגיעות לא ידועה) במוצרי העברת קבצים של Cleo, המשמשים חברות לשיתוף מערכות גדולות של נתונים רגישים באינטרנט. באמצעות פריצה למערכות אלה, ההאקרים גנבו כמויות עצומות של נתונים מלקוחות תאגידיים של Cleo.

זמן קצר לאחר מכן, הכנופיה טענה באתר הדליפות שלה ב"דארק ווב" כי גנבה מידע מכמעט 60 חברות על ידי ניצול הפגם במערכות Cleo שלהן. בפוסט מאוחר יותר, Clop טענה לעשרות קורבנות תאגידיים נוספים. מסע סחיטת הנתונים הפך לאחת מהפריצות ההמוניות הבולטות של 2024.

האקר (אילוסטרציה). Clop טענה לעשרות קורבנות תאגידיים נוספים, צילום: (אילוסטרציה) יוני מנר

השלכות עבור לקוחות ישראלים

הרץ היא חברת השכרת רכב פופולרית בקרב ישראלים הנוסעים לחו"ל. מומחי אבטחת מידע ממליצים לכל מי שהשכיר רכב מהרץ או מהחברות הבנות שלה בין השנים 2023-2025 לבדוק את תדפיסי כרטיסי האשראי שלהם ולעקוב אחר הודעות רשמיות מהחברה.

מומחי אבטחת מידע אמרו, כי זוהי דוגמה קלאסית למתקפת "שרשרת אספקה", שבה התוקפים אינם תוקפים ישירות את היעד הסופי אלא ספק או שותף שיש לו גישה למערכות. אירועים כאלה הופכים נפוצים יותר ככל שארגונים משתפים מידע עם צדדים שלישיים.

הרץ הדגישה כי לא נמצאו ראיות לכך שהרשת של הרץ עצמה הושפעה מהפריצה, אך אישרה כי נתוני הרץ "נרכשו על ידי צד שלישי בלתי מורשה שניצל פגיעויות zero-day בפלטפורמה של Cleo באוקטובר 2024 ודצמבר 2024".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו