Hertz informa que se han robado datos personales y licencias de conducir de clientes en una violación de seguridad.
La empresa de alquiler de coches atribuyó la filtración a Cleo, cuyos clientes sufrieron el robo de datos por parte de un grupo de ransomware en 2024.
Hertz, la conocida empresa de alquiler de automóviles, ha comenzado a informar a sus clientes sobre una violación de datos que comprometió su información personal, incluyendo licencias de conducir. Esta situación está relacionada con un ataque cibernético a uno de sus proveedores, el cual ocurrió entre octubre y diciembre de 2024.
La información robada varía según la región, pero en su mayoría incluye nombres de clientes de Hertz, fechas de nacimiento, información de contacto, detalles de sus licencias de conducir, datos de tarjetas de pago y reclamaciones de compensación laboral. Además, se reportó que un número menor de clientes tuvo sus números de seguro social y otros números de identificación gubernamentales comprometidos.
Hertz ha notificado a sus clientes en Australia, Canadá, la Unión Europea, Nueva Zelanda y el Reino Unido sobre el incidente. También hizo público el hecho a varias estados de EE. UU., incluidos California y Maine. Aunque se confirmó que al menos 3,400 clientes en Maine se vieron afectados, la compañía no proporcionó una cifra total de individuos afectados, que probablemente sea considerablemente mayor.
Una portavoz de Hertz, Emily Spencer, no ofreció un número específico de perjudicados, pero mencionó que sería “inexacto afirmar que millones” de clientes están involucrados. La compañía atribuyó la violación a su proveedor, Cleo, un fabricante de software que el año pasado estuvo implicado en una campaña de hackeo masivo realizada por un grupo de ransomware vinculado a Rusia. Hertz fue una de las muchas organizaciones que utilizaban el software de Cleo al momento de la violación de datos.
La pandilla de ransomware Clop afirmó haber explotado una vulnerabilidad de día cero en los productos de transferencia de archivos de Cleo, lo que permitió a los atacantes robar grandes volúmenes de datos de los clientes corporativos de este proveedor. Poco después, Clop alegó haber robado datos de cerca de 60 empresas aprovechando esta falla en los sistemas de Cleo. En publicaciones posteriores, la banda indicó que había más empresas víctimas.
Este caso de extorsión de datos se considera uno de los hackeos masivos más significativos de 2024. En su momento, cuando Hertz fue mencionada en el sitio de Clop, la compañía aseguró que no había "evidencia" de que los datos o sistemas de Hertz estuvieran comprometidos. Sin embargo, un portavoz confirmó recientemente que no se encontró evidencia de que la red de Hertz hubiera sido afectada, aunque sí mencionó que datos de Hertz "fueron adquiridos por un tercero no autorizado que explotó vulnerabilidades de día cero dentro de la plataforma de Cleo entre octubre y diciembre de 2024". Hasta el momento, un ejecutivo de Cleo no ha respondido a las solicitudes de información sobre el incidente.
