A gigante do aluguel de carros Hertz começou a notificar seus clientes sobre uma violação de dados que incluía suas informações pessoais e carteiras de motorista.
A empresa de aluguel, que também é proprietária das marcas Dollar e Thrifty, disse em comunicados em seu site que a violação está relacionada a um ciberataque em um de seus fornecedores entre outubro de 2024 e dezembro de 2024.
Os dados roubados variam de acordo com a região, mas incluem em grande parte nomes de clientes da Hertz, datas de nascimento, informações de contato, carteiras de motorista, informações de cartões de pagamento e reivindicações de compensação dos trabalhadores. A Hertz disse que um número menor de clientes teve seus números de Segurança Social retirados na violação, juntamente com outros números de identificação emitidos pelo governo.
Os comunicados nos sites da Hertz divulgaram a violação aos clientes na Austrália, Canadá, União Europeia, Nova Zelândia e Reino Unido.
A Hertz também divulgou a violação em vários estados dos EUA, incluindo a Califórnia e o Maine. A Hertz disse que pelo menos 3.400 clientes no Maine foram afetados, mas não listou o número total de indivíduos afetados, que provavelmente será significativamente maior.
Emily Spencer, porta-voz da Hertz, não forneceu ao TechCrunch um número específico de indivíduos afetados pela violação, mas disse que seria "incorreto dizer que milhões" de clientes foram afetados.
A empresa atribuiu a violação a um fornecedor, a fabricante de software Cleo, que no ano passado estava no centro de uma campanha massiva de hackers de um prolífico grupo de ransomware ligado à Rússia.
A Hertz é uma das dezenas de empresas que usaram o software da Cleo no momento de seus roubos de dados. O grupo de ransomware Clop afirmou no ano passado ter explorado uma vulnerabilidade de dia zero nos produtos de transferência de arquivos empresariais amplamente utilizados da Cleo, que permitem que as empresas compartilhem grandes conjuntos de dados sensíveis pela internet. Ao violar esses sistemas, os hackers roubaram volumes de dados dos clientes corporativos da Cleo.
Logo depois, o grupo de ransomware Clop afirmou em seu site de vazamentos na dark web que roubou dados de quase 60 empresas explorando a falha em seus sistemas Cleo. Em uma postagem posterior, o Clop afirmou dezenas de outras supostas vítimas corporativas.
A campanha de extorsão de dados se tornou um dos hacks em massa mais notáveis de 2024.
Na época, a Hertz, que estava listada no site do Clop, disse que não tinha "evidências" de que os dados da Hertz ou os sistemas da Hertz foram afetados.
Na segunda-feira, o porta-voz da Hertz disse ao TechCrunch que não encontrou evidências de que a própria rede da Hertz foi afetada pela violação, mas confirmou que os dados da Hertz "foram adquiridos por um terceiro não autorizado que entendemos ter explorado vulnerabilidades de dia zero na plataforma da Cleo em outubro de 2024 e dezembro de 2024."
Um executivo da Cleo não respondeu à consulta do TechCrunch na segunda-feira.
