מיליוני בעלי מכוניות נפגעו מפרצת נתונים בחברת דירוג אשראי

פרצת נתונים ב-700Credit, חברה שמספקת דירוג אשראי בארצות הברית, פגעה ב-5.8 מיליון בני אדם. הנפגעים הם בעלי מכוניות שנרכשו מסוכנויות רכב שהינן לקוחות של החברה. 700Credit גילתה את הפגיעות בסוף אוקטובר, אבל לקח לה חודש וחצי כדי לדווח עליה – היא עשתה זאת רק לפני כמה ימים.

700Credit, שממוקמת במישיגן, מספקת דיווחי אשראי, אימות זהויות ושירותים נוספים ליותר מ-21 אלף סוכנויות מכירת והשכרת כלי רכב וסוחרים ברחבי ארצות הברית. היא כותבת באתר שלה כי "אנחנו הספקית הגדולה ביותר בארצות הברית של דו"חות אשראי, נתוני אשראי 'רכים', אימות זהות, זיהוי הונאות ופתרונות ציות והלימה לרגולציות".

הודעות שונות של החברה והרשויות

החברה הודיעה על המתקפה ומספר הלקוחות שנפגעו ממנה למשרד התובע הכללי של מיין. במקביל, החברה פרסמה הודעה באתר שלה, שבה היא כתבה כי "אנחנו מצטערים להודיע לכם שהתעשייה שלנו הותקפה שוב, על ידי גורם רע, שהייתה לו גישה בלתי מורשית למידע אישי מזהה (PII) – כולל שם, כתובת ומספר ביטוח לאומי. החקירה נמשכת והכי חשוב – אין אינדיקציה לגניבת זהות, הונאה או שימוש לרעה אחר במידע בקשר לאירוע זה".

לפי 700Credit, "שכרנו מומחי אבטחת סייבר, ואלה לא זיהו כל השפעה על הרשת הפנימית שלנו. המומחים אישרו שכל הפעילות מוגבלת בתוך שכבת היישום 700Dealer.com. אנחנו מאשרים שאין השפעה תפעולית על העסק שלנו, ואנחנו ממשיכים לספק שירותים כמתוכנן".
משרד התובע הכללי במיין פרסם הודעה שונה מזו של החברה: "רשומות מסוימות באפליקציית האינטרנט הנוגעות ללקוחות של לקוחות (כלומר, הסוכנויות למכירת כלי רכב – י"ה) הועתקו בלא אישור".

מה אומרים מומחים וחוקרי אבטחה?

מומחים מתחו ביקורת למה לקח לחברה הנפרצת זמן כה רב לעדכן על האירוע. זו לא הגיבה לביקורת כלפיה.

חוקרי אבטחה העריכו כי מקור האירוע הוא בתצורה שגויה שהוגדרה בממשקי API – מה שאפשר לשחקני האיום לקצור ולהוציא נתונים בין החודשים מאי לאוקטובר השנה.

על אף שלקוחות שנפגעו זכאים לקבל הגנה על הזהות שלהם ובקרת אשראי למשך שנה בלא תשלום, 700Credit המליצה לנפגעי הפריצה לעקוב מקרוב אחר חשד לגניבת זהות או להונאה, ולדווח מיד על כל אירוע לחברת כרטיסי האשראי ו/או לבנק.

שנת שיא נוספת בקצירת הנתונים בארה"ב

לפי ITRC – מרכז משאבי גניבת זהויות, ארצות הברית נמצאת בדרך לשנת שיא נוספת בקצירת נתונים בסייבר: מספרן זינק ב-11% והגיע ל-1,732 במחצית הראשונה של 2025. ברבעון השלישי של השנה נחשפו 835 מקרים של דליפת או גניבת נתונים – נתון שהוביל לכ-23 מיליון קורבנות.

המרכז הזהיר בשבוע שעבר שלקוחות קצה עלולים להיפגע פעמיים: פעם אחת מעצם גניבת הנתונים ופעם נוספת מהייקור של המחירים. בעקבות עליית היקף הפריצות, מרכז משאבי גניבת הזהויות חשף כי 38% מהחברות שנפרצו העלו את מחיריהן בשנה האחרונה בעקבות אירוע הפריצה.