Утечка персональной информации из сервиса проката Hertz

Сервис Hertz уведомил клиентов об утечке персональной информации. Компания заявила, что утечка персональной информации произошла в результате атаки на поставщика. Собственная сеть Hertz не была затронута в ходе инцидента. О количестве жертв утечки персональной информации пока неизвестно.

Компания Hertz, один из лидеров на рынке проката автомобилей, на своем веб-сайте заявила об утечке данных, которая затронула ее клиентов.

Согласно сообщению Hertz, инцидент, приведший к утечке конфиденциальной информации, произошел в период с октября 2024 г. по декабрь 2024 г. когда хакеры организовали кибератаку на одного из поставщиков.

Уведомления об утечке данных получили клиенты в Австралии, Канаде, Европейском союзе, Новой Зеландии и Великобритании. Hertz также раскрыла информацию о взломе в нескольких штатах США, включая Калифорнию и Мэн. Так, компания заявила, что в штате Мэн пострадали не менее 3400 клиентов, но не назвала общее количество жертв инцидента.

Скомпрометированные данные различаются в зависимости от региона. В основном они включают имена клиентов, даты рождения, контактную информацию, информацию о водительских удостоверениях, сведения о платежных картах и требования о компенсации работникам. Hertz заявила, что у меньшего числа клиентов в результате утечки были украдены номера социального страхования, а также другие ID, выданные правительственными организациями.

Представитель компании Hertz Эмили Спенсер (Emily Spencer) уклонилась от прямого ответ на вопрос журналистов о количестве пострадавших от взлома, но заявила, что было бы некорректно говорить о том, что жертвами инцидента стали миллионы клиентов.

Hertz стала одной из мишеней хакеров в результате взлома ПО Cleo для корпоративной передачи файлов. Используя уязвимость нулевого дня в этом софте, злоумышленники в прошлом году украли множество конфиденциальных данных у клиентов Cleo.

Известно, что атаку на цепочку поставок корпоративных продуктов Cleo организовала группировка Clop. Вскоре после серии инцидентов хакеры на своем сайте в дарквебе заявили, что украли данные у почти 60 компаний. В более позднем сообщении злоумышленники сообщили о десятках других жертв.

Компания Hertz, ставшая одной из жертв атаки на Cleo, первое время заявляла, что у нее нет доказательств того, что системы Hertz или ее данные были затронуты в ходе инцидента, связанного со взломом корпоративного ПО Cleo.

В понедельник, 14 апреля, представитель Hertz сообщил TechCrunch, что не нашел никаких доказательств того, что собственная сеть Hertz была подвергнута взлому, но подтвердил, что данные Hertz «были получены неавторизованной третьей стороной, которая, как мы понимаем, использовала уязвимости нулевого дня на платформе Cleo в октябре 2024 года и декабре 2024 года». 

Представитель компании Cleo не ответил на вопрос журналистов в понедельник.

Напомним, что в начале апреля стало известно, что хакеры украли персональные данные до 200 тыс. клиентов компании Europcar Mobility Group, которая предоставляет услуги проката автомобилей под брендами Europcar, Goldcar и Ubeeqo. Злоумышленники получили конфиденциальные данные клиентов компании в результате взлома репозитория GitLab.

Источник: Techcrunch