בעצם הימים שבהם יצרנית הרכב יגואר לנד-רובר מלקקת את פצעיה בעקבות פריצת סייבר פוגענית במיוחד נחשפה בארצות הברית פריצת סייבר משמעותית מסוג אחר, אל מאגר נתונים של יונדאי-קיה בארה"ב. ככל הידוע הפורצים ניסו להגיע אל נתונים אישיים של כ-2.7 מיליון בעלי יונדאי, קיה וג'נסיס בארצות הברית, ואלה כוללים בין השאר את השם שלהם, כתובת, כל פרטי הדגם שבו הם נוהגים, וחשוב מכל – בוודאי בארה"ב – מספר רישיון הנהיגה ומספר הביטוח הלאומי – שני פרטים מזהים בעלי משמעות גדולה מאוד.

ספקית שירותי המחשוב של יונדאי-קיה בארה"ב, Hyundai AutoEver America דווחה על פריצת סייבר שבוצעה בין ה-22 בפברואר ל־2 במרץ 2025, זוהתה ב־1 במרץ והוסברה באופן מלא ומפורט לחלק מן הרשויות האמריקניות רק כעבור כמעט שמונה חודשים.

ככל שאפשר להבין מפרסומים בארה"ב, ולמרות הכותרות המפוצצות שליוו את הפרשה ברגעיה הראשונים, הפורצים ניסו להגיע אל מאגר המידע המלא באמצעות פריצה, שכנראה הצליחה, למאגר של אלפי עובדי יונדאי-קיה שחלקם כנראה מחזיקים בסיסמאות והרשאות למאגר העיקרי.

לכאורה, כל מאגר נתונים בעולם עלול להיפרץ במוקדם או במאוחר, ופרטים אישיים של כל אחד מאיתנו ממילא נמצאים בידי כל מיני גורמים שלא אמורים להחזיק בהם. אפשר גם לחשוב על מאגרי מידע הרבה יותר רגישים שנפרצים חדשות לבקרים, למשל נתונים חסויים שנשדדים בפריצות למוסדות רפואיים או כאלה שנשדדו ממוסדות חקירה והעמדה לדין.

אלא שתחום הרכב הפך זה מכבר לאחר מן הרגישים ביותר בחיים שלנו, במיוחד לנוכח כמות וסוג המידע שמכוניות חדשות אוספות עלינו. כאשר נפרץ אתר קניות – מחליפים סיסמה. כאשר מישהו משיג את פרטי כרטיס האשראי – מבטלים כרטיס. אבל כאשר נפרץ מאגר מידע של יצרנית רכב אי אפשר להחליף זהות, רישיון נהיגה או את הרכב. זה מה שהופך את הפריצה הזאת מ'דליפת דאטה' שגרתית לאיום אמיתי.

מה נגנב, ואיך זה מסכן אותנו?

בשלב זה טרם פורסמו כל הפרטים אודות פריצת הסייבר ליונדאי-קיה – למעט המובן מאליו. יונדאי AutoEver הכניסה לתמונה חוקרי אבטחת סייבר אבל לא פרסמה פרטים מלאים אודות הנתונים שנשדדו וגם לא זיהתה איזו קבוצת האקרים ביצעה את המהלך או איך בדיוק בוצעה הפריצה.

אגב, זאת לא מתקפת הסייבר הראשונה על יונדאי: בשנים 2023 ו-2024 פרצה קבוצת ההאקרים Black Basta למאגרי מידע של יונדאי-קיה באירופה ולאחר מכן טענה שגנבה יותר מ-3 טרה-בייט של נתונים. לקראת סוף השנה שעברה פרצה קבוצת "פצחנים טובים" אל מאגר מידע עצום של קיה והתריעה מפני הפגיעות שלו, וזה קרה זמן קצר לאחר פריצה אל מאגר מידע של חברת השכרת הרכב אוויס.

הפיצוי הראשוני והמיידי שהנפגעים בארצות הברית קיבלו מיונדאי AutoEver, באמצעות חברה מתמחה, הוא "שירות ניטור אשראי" בחינם למשך שנתיים, וזה כדי לצמצם את האפשרות שהם יפגעו מתרמיות פיננסיות. עצם מתן הפיצוי, אגב, מוכיח שנגרם נזק כלשהו. בארצות הברית, כמו בארצות הברית, אפשר כבר לדמיין את התביעה הייצוגית שעומדת לנחות על שולחנה של יונדאי (אם עדיין לא נחתה שם), ואם (או כאשר) זה יקרה אנחנו צפויים להיחשף לפרטים נוספים לגבי היקף ואיכות המידע שנגנב.

אבל כבר כעת לא צריך דמיון מפותח מידי כדי להבין את ערך המידע הזה עבור כל מיני גורמים שלא יהססו לפגוע בנו. גנבי רכב, למשל, ישמחו לשלם סכום סמלי כדי לקבל מידע מדויק אודות כתובת ופרטים אישיים של בעלי דגם ספציפי שמעניין אותם, ונזכיר גם שבארצות הברית רישיון הנהיגה משמש כתעודת זהות לכל דבר ועניין ומספר הביטוח הלאומי הוא מספר הזיהוי העיקרי.

עדיין לא פורסם אם המידע שנגנב כולל גם פרטים כלכלים כמו בדיקות אשראי ופרטי חשבונות בנק, אבל למי שמחזיק במידע שכולל את כל המידע האישי ופרטי קשר, וגם את פרטי הרכב שמשמש את אותם אנשים – יש מה להציע לחוקרים פרטיים ולמתחרים עסקיים.

שירות הניטור האישי שיונדאי מספקת לנפגעים – צעד די שגרתי שם לאחר פריצה למאגרי מידע – מעיד על הסכנה של שימוש בצילום רישיון הנהיגה ובפרטים שבו כדי, למשל, לפתוח חשבון בנק, להזמין שירותים ומוצרים, לחתום על חוזים וכיוצא באלה. שילוב נתונים אישיים שנגנבים ממאגרי מידע מאפשר לפושעים לייצר מה שמכונה בעולם האבטחה "זהות סינתטית" (Synthetic Identity): שילוב של מספר הזיהוי הגנוב עם תמונת הגנב או עם תמונה שמיוצרת עם בינה מלאכותית על גבי רישיון נהיגה פיזי מזויף.

"זהות סינתטית" מאפשרת לפתוח חשבונות בנק, לקחת הלוואות בשוק האפור, לשכור רכב ואפילו לקבל טיפול רפואי. בעת ביצוע עבירת תנועה או עבירה פלילית עלול הרישום הפלילי (או החקירה) להיצמד לזהות המקורית והקורבן יגלה על כך רק כאשר המשטרה תדפוק על דלתו עם צו מעצר על עבירה שבוצעה בזמן שהוא ישן במיטה.

בנוסף, פושעי סייבר יכולים לנסות להשתמש במידע שכבר ברשותם כדי להשיג מידע משלים או לבצע הונאות כלפי הקורבנות, למשל לפנות אליהם בשם גורמים אחרים תוך הצגת מידע שאמור להימצא רק אצל אותם גורמים. אפשר לחשוב, למשל, על פניה ללקוח יונדאי תוך התחזות לנציג שירות לקוחות של החברה כדי להפוך הודעת פישינג למדויקת ו"מהימנה" יותר.

חברות אבטחת סייבר מדווחות בשנים האחרונות שתעשיות הרכב והניידות הפכו ליעדים אטרקטיביים מאוד לתוקפי סייבר, עם עשרות מתקפות כופרה ויותר מ־100 אירועי אבטחה משמעותיים במהלך שנת 2024 בלבד.

כדוגמה בולטת אחת: בסוף 2024 נחשפה פרצה חמורה אל חברת Cariad של קבוצת פולקסווגן, שבמהלכה דלף מידע על כ־800 אלף בעלי רכב חשמלי ובכלל זה נתוני מיקום מדויקים מאוד של כלי הרכב שלהם. למרות זאת – ברוב מדינות העולם, וגם בישראל, יצרניות רכב עדיין לא מחויבות ברגולציית אבטחה מחמירה כמו מוסדות פיננסיים.

כאמור, כרגע אין ודאות לגבי הצלחת הפריצה ליונדאי-קיה אבל על אותן תשתיות או על מערכות מידע מאוד קרובות מחזיקות רוב יצרניות הרכב מידע מפורט לגבי היסטוריית השירות של כלי רכב (קילומטראז', תקלות, תיעוד כניסות למוסכים ועוד), וגם לגבי שירותי קישוריות כמו אפליקציות שליטה מרחוק, נתוני מיקום, דפוסי שימוש ברכב ואולי גם דגימות קול ותמונה מתוך הרכב.

גם כך, יצרנית רכב שמחזיקה במידע כזה יכולה לבנות פרופיל מלא על כל בעל רכב וכל נהג וסביר שחלקן כבר עושות את זה. כל עוד שנתונים אישיים נשארים אצל יצרנית הרכב ושאנשי היצרנית מצייתים לרגולציה ולחוק – אפשר רק להתווכח על הלגיטימיות של איסוף מידע. אבל כאשר הן מוכרות הלאה את המידע, או – חמור יותר – כאשר ארגון לא מצליח לאבטח מידע – זה מעצים את השאלה אם אנחנו מוכנים לתת להן להחזיק בו.

ומה עם בעל הרכב הישראלי?

התקפת הסייבר שנחשפה כעת בארה"ב נוגעת למערך המחשוב של יונדאי בצפון אמריקה, ואין כל סיבה להאמין שהיא משפיעה על מערכות בישראל או מסכנת בעלי רכב בישראל. בנוסף, קשר אל לקוח סופי בארץ עובר דרך יבואנית ישראלית, שהיא חברה נפרדת.

ובכל זאת מדובר בדגל אדום שמונף ואסור להתעלם ממנו, וגם בקריאת השכמה. צריך להדגיש שבנוסף לאיומי פשיעה רגילים שקיימים בכל מקום בעולם – ישראל וישראלים נמצאים ככל הנראה בראש "רשימת השנואים" של מספר עצום של מדינות, ארגונים ואנשים שלא אוהבים אותנו. מסין, דרך צפון קוריאה, רוסיה, תימן, קטאר, איראן וטורקיה שמפעילות כנגדנו "מבצעי השפעה" ברמה מדינתית, דרך ארגוני טרור איסלאמיסטים וארגונים פוליטיים, ועד לארגוני שמאל קיצוני וארגוני ימין אנטישמים שמנסים לפגוע בישראל ובישראלים בכל דרך אפשרית – כל אחד מאלה ישמח לשים יד על נכסים שיכולים לשמש נגדנו.

מאגרי נתונים, כלי רכב מחוברים, אפליקציות שליטה מרחוק ומערכות גיבוי בענן הם יעדים אטרקטיביים ונקודות תורפה שחייבים להימצא תחת רגולציית אבטחה מחמירה, במיוחד לנוכח כושר איסוף המידע המשתכלל של כלי רכב.

איך אפשר להישמר?

בנוסף למודעות ולהתנהלות אחראית במרחב הדיגיטלי באופן כללי, ישנם מספר דגשים ייחודיים לעולם הרכב והניידות שחשוב להקפיד עליהם, בעיקר כאשר נוהגים במכונית מקושרת או כאשר מקשרים באופן יזום את המכונית לאינטרנט.

ראשית לכל: כדאי להגביל או לחסום כל תכונה מקושרת ברכב שאין בה צורך ממשי, ולהקפיד על אימות דו-שלבי של אפליקציות שליטה ברכב (נעילה, התנעה, מיזוג).

לפני שמחברים רכב לאפליקציה כדאי לשאול איזה סוג מידע אוספים עלי ועל הרכב? היכן מאוחסן המידע הזה, בישראל, באירופה או בענן גלובלי? וגם למי יש גישה למידע – יצרן, יבואן, חברת ביטוח, צדדים שלישיים? חשוב להגביל את שיתוף המידע של האפליקציה – למשל לא לחבר כל שירות לכל חשבון, ולא כל נהג במשפחה חייב גישה מלאה לחשבונות הראשיים.

במסגרת חוק הגנת הפרטיות אפשר וכדאי לשאול את השאלות האלה כדי לדעת אילו נתונים נאספים לגבי הרכב ועל הבעלים או המשתמש, בדגש על נתונים שיוצאים מחוץ לישראל. אלה שאלות קריטיות ככל שמדובר בכלי רכב מתוצרת סין, וחשובות גם באופן כללי.

ברמה הלאומית חייבת ממשלת ישראל לדרוש מיבואניות ויצרניות הרכב חובת שקיפות מלאה לגבי אילו נתונים נאספים, מדוע, כמה זמן הם נשמרים במערכות ולמי יש גישה למידע.
הרגולטור הישראלי חייב לקבוע חובת דיווח מיידית במקרי פריצה ולסווג את מאגרי המידע בתחום הרכב כמאגרים בסיכון גבוה, בדומה למוסדות פיננסיים, מה שיחייב את המחזיקים בהם בדרישות אבטחה נוקשות יותר.

לכאורה – פריצת הסייבר אל Hyundai AutoEver America לא קשורה אלינו מפני שהיא התרחשה מעבר לים ופגעה בלקוחות אמריקנים. למעשה זאת קריאת השכמה שחושפת מה שהרבה בעלי רכב מעדיפים שלא לחשוב עליו: יצרנית הרכב יודעת מי אתה, איפה אתה גר, באיזה רכב אתה נוסע, ובמקרים רבים גם לאן ומתי אתה נוסע.

בזמן שאנחנו נהנים מן השיפורים בנוחות שלנו אנחנו חייבים לשאול את עצמנו מי חוץ מאיתנו יכול להשתמש באותן פונקציות, והאם מי שמחזיק במידע שלנו שומר עליו טוב יותר מאשר ספקית שירותי המחשוב של יונדאי בארה"ב.

לקריאה נוספת:

הצעיר שפרץ לטסלה מאתגר את יצרניות הרכב: תלמדו לעבוד עם קהילת ההאקרים

לנהוג בסוס טרויאני: האם המכונית הסינית שלכם מרגלת עבור ממשלת בייג'ינג?

מכוניות סיניות הן ה-7 באוקטובר של אגף הרכב של צה"ל. אבל מה עם הרכב הסיני שלך?