"מידע גנוב על לקוחות הרץ שוטט בדארקנט במשך חודשים"

הרץ, חברת השכרת הרכב הפופולרית, החלה באחרונה להפיץ "הודעה על אירוע (קצירת) נתונים" ללקוחותיה ברחבי העולם. לפי החברה, היא חוותה מתקפת סייבר שהתרחשה ברבעון הרביעי של 2024. השחקנים הרעים התמקדו ופרצו בהצלחה את מערכות ה-IT של שותף צד שלישי של הרץ, שמספק שירותי העברת קבצים.

הרץ גילתה בפברואר השנה שהאקרים ניצלו פגיעות מסוג "יום אפס" בתוכנה, באוקטובר ובדצמבר 2024. חוקרי פנדה סקיוריטי ציינו כי "התקיפה התגלתה ב-10 בפברואר השנה. לא ברור מדוע להרץ ולספק הצד השלישי שלה לקח חודשים לדווח על כך".

לפי חוקרי חברת ההגנה הצרפתית-ספרדית, "פושעי הסייבר הצליחו להשיג גישה למידע רגיש ביותר של לקוחות הרץ, כגון מספרי ביטוח לאומי ותעודות זהות, מסמכים ממשלתיים ופרטי דרכונים, מספרי כרטיסי אשראי ונתוני רישיונות נהיגה. עוד נגנבו פרטי קשר של לקוחות הרץ, כמו מיילים ומספרי טלפון סלולרי, לצד תעודות של ביטוחי בריאות דוגמת מדיקר ומדיקייד (תוכניות של הממשל האמריקני – י"ה) ומסמכי תביעות בעקבות תאונות דרכים".

זהות התוקפים לא נקבעה באופן מוחלט. מומחי אבטחה מעריכים שמדובר בכנופיית הכופרות הרוסית קלופ (Clop). חלקים מפרטי הנתונים הגנובים החלו להופיע בדארקנט – מה שהביא לחקירה של הרץ. חברת ההשכרה הסיקה שהנתונים הגנובים אכן שייכים ללקוחותיה. "הניתוח הושלם ב-2 באפריל 2025", כתבו חוקרי פנדה. "המשמעות היא שהמידע הגנוב, שהושג על ידי ההאקרים בין אוקטובר לדצמבר 2024, ככל הנראה הועבר ברשת האפלה במשך חודשים".

המענה של הרץ

בעקבות התקרית, הרץ הנפיקה שירותים לניטור זהות ולאיתור נתונים שפורסמו בדארקנט – למשך שנתיים, שמיועדים ללקוחותיה שנפגעו מהאירוע. חברת ההשכרה לא חשפה את מספר האנשים שנפגעו מהאירוע, אך יש לה מיליוני לקוחות בכל שנה, כך שמומחים העריכו כי "היקף הקורבנות שנפגעו ככל הנראה גבוה מאוד". ההערכות נעו בין אלפים לעשרות רבות של אלפי קורבנות. דובר מטעם הרץ מסר כי "לא יהיה מדויק לומר שמיליוני לקוחות הושפעו מהתקרית".

הרץ יעצה ללקוחותיה "לפקוח עין על כל דו"חות האשראי שלכם ולדווח מיד על כל התנהגות חשודה". מומחים ציינו שהודעת החברה מעידה שהיא לא מודעת, עדיין, לכך שנעשה שימוש לרעה בנתונים הגנובים.

מומחי אבטחה התייחסו לאירוע וכתבו כי "הדלפות בפרופיל גבוה מתרחשות כל הזמן. האקרים בעלי גישה לכל כך הרבה מידע רגיש עלולים לבצע הונאות מקוונות, כגון קבלת משכנתא לכאורה, הלוואה או ביצוע פעילויות אחרות הדורשות בדיקות אשראי, כגון קניית טלפון מספקית תקשורת סלולרית, או מימון מכונית".

הרץ, שבבעלותה חברת השכרת הרכב בשם זה, כמו גם מותגים כגון דולר וטריפטי, דווחה על דליפת מידע לרגולטורים בקליפורניה, איווה, מיין, טקסס ו-ורמונט.

הרץ: "אנחנו משתמשים בפלטפורמה שנפרצה למטרות מוגבלות"

התוכנה הפגיעה, שאותה ניצלו ההאקרים, היא פלטפורמת שיתוף הקבצים קליאו. לפי הרץ, היא "עושה שימוש בקליאו למטרות מוגבלות". בהודעה אחרת מטעמה נמסר כי "חקירה פורנזית העלתה שהרשת של הרץ מעולם לא הושפעה מהתקרית". מומחים ציינו שזו דוגמה "קלאסית" לחשיבות של אבטחת כלל שרשרת האספקה, בשל החשש לפגיעה בקורבנות באופן נרחב. "בין חברות רבות אחרות שהושפעו מאירוע זה, אנו מאשרים שנתוני הרץ, שנרכשו על ידי צד שלישי, לא מורשה – הביאו לניצול של פגיעויות יום אפס", נמסר מהרץ.

בחודשים האחרונים, כמה חברות נפגעו מהניצול של הבאג בתוכנת קליאו, ביניהן ענקית המזון האמריקנית WK Kellogg ובנק ווסטרן אליאנס מפיניקס.

הרץ הייתה אחת ממאות חברות ששמן הוזכר על ידי כנופיית הכופרה קלופ באוקטובר האחרון – אז היא טענה שהיא זו העומדת מאחורי ניצול הפגיעות של קליאו. ההאקרים הצליחו לתקוף את HPE ואת תומסון רויטרס, דרך החברה הבת שלה ליגאל טראקר. השתיים מסרו שהמתקפה הייתה מוגבלת בהיקפה ושהן חוקרות את האירועים.