A gigante de aluguel de carros Hertz começou a notificar seus clientes sobre uma violação de dados que incluía suas informações pessoais e licenças de motorista.
A empresa de aluguel, que também possui as marcas Dollar e Thrifty, disse em avisos em seu site que a violação se refere a um ataque cibernético em um de seus fornecedores entre outubro de 2024 e dezembro de 2024.
Os dados roubados variam de acordo com a região, mas inclui nomes de clientes da Hertz, datas de nascimento, informações de contato, carteiras de motorista, informações sobre cartão de pagamento e reivindicações de remuneração dos trabalhadores. Hertz disse que um número menor de clientes teve seus números de segurança social na violação, juntamente com outros números de identificação emitidos pelo governo.
Avisos nos sites de Hertz divulgaram a violação aos clientes em AustráliaAssim, Canadáo União EuropeiaAssim, Nova Zelândiae o Reino Unido.
Hertz também divulgou a violação com vários estados dos EUA, incluindo Califórnia e Maine. Hertz disse que pelo menos 3.400 clientes no Maine foram afetados, mas não listou o número total de indivíduos afetados, o que provavelmente será significativamente maior.
Emily Spencer, porta -voz da Hertz, não forneceria a TechCrunch um número específico de indivíduos afetados pela violação, mas disse que seria “impreciso dizer que milhões de clientes são afetados.
A empresa atribuiu a violação a um fornecedor, o fabricante de software Cleo, que no ano passado estava no centro de uma campanha de hacking em massa por uma prolífica gangue de ransomware ligada à Rússia.
Hertz é uma das dezenas de empresas que usaram o software de Cleo no momento de seus roubos de dados. A gangue Ransomware Clop alegou que no ano passado explorou uma vulnerabilidade de dias zero nos produtos de transferência de arquivos corporativos amplamente utilizados da Cleo, que permitem às empresas compartilhar grandes conjuntos de dados confidenciais pela Internet. Ao violar esses sistemas, os hackers roubaram resmas de dados dos clientes corporativos da Cleo.
Logo depois, a gangue Clop Ransomware afirmou em seu site de vazamento da Web que roubou dados de quase 60 empresas, explorando o bug em seus sistemas Cleo. Em um post posterior, Clop reivindicou dezenas de vítimas corporativas mais supostas.
A campanha de extorsão de dados se tornou um dos mais notáveis em massa de 2024.
Na época, Hertz, que foi nomeado no site de Clop, disse que “não tinha evidências” de que os dados da Hertz ou dos sistemas Hertz foram afetados.
Na segunda-feira, o porta-voz de Hertz disse ao TechCrunch que não encontrou evidências de que a própria rede de Hertz foi afetada pela violação, mas confirmou que os dados da Hertz “foram adquiridos por um terceiro não autorizado que entendemos que exploramos vulnerabilidades de dia zero na plataforma de Cleo em outubro de 2024 e dezembro de 2024”.
Um executivo da CLEO não respondeu ao inquérito da TechCrunch na segunda -feira.
