Hertz potwierdza wyciek danych klientów – winna luka w oprogramowaniu zewnętrznego dostawcy

Jeden z globalnych gigantów wynajmu samochodów, Hertz, potwierdził naruszenie bezpieczeństwa danych, w wyniku którego doszło do kradzieży informacji osobistych i danych z prawa jazdy tysięcy klientów na całym świecie. Incydent dotyczy podatności w oprogramowaniu dostawcy.

Hertz, właściciel marek Dollar i Thrifty, poinformował o naruszeniu danych klientów w wyniku cyberataku na jednego ze swoich dostawców technologicznych – firmę Cleo – do którego doszło między październikiem a grudniem 2024 roku.
W ujawnionej informacji firma przyznała, że nieuprawniony dostęp dotyczył danych osobowych, numerów praw jazdy, danych kontaktowych, a także – w niektórych przypadkach – numerów kart płatniczych i numerów ubezpieczenia społecznego (Social Security Number). Poszkodowani klienci pochodzą z wielu regionów, w tym z Australii, Kanady, Unii Europejskiej, Nowej Zelandii, Wielkiej Brytanii oraz kilku stanów USA – m.in. Kalifornii, Maine i Teksasu.

Zgodnie z danymi opublikowanymi przez stanowe urzędy w USA, w samym Teksasie incydent objął niemal 97 tys. klientów, a w stanie Maine – ponad 3,4 tys. Liczba osób, których dotyczy sprawa, prawdopodobnie jest jednak znacznie większa, choć przedstawicielka firmy, Emily Spencer, odrzuciła sugestie, że mogłyby to być miliony użytkowników.

Winowajcą okazuje się firma Cleo – dostawca rozwiązań do przesyłania plików klasy enterprise. W 2023 roku Cleo stała się celem ataku, powiązanej z Rosją, grupy ransomware Clop. Hakerzy wykorzystali lukę typu zero-day w oprogramowaniu do transferu danych, co umożliwiło im dostęp do wewnętrznych systemów klientów korporacyjnych tej firmy. Wśród poszkodowanych znalazło się blisko 60 przedsiębiorstw – a późniejsze informacje wskazywały, że liczba ofiar mogła być jeszcze wyższa.

„Hertz Rental Car Counter” by mrkathika is licensed under CC BY-SA 2.0.

Co istotne, jeszcze w ubiegłym roku Hertz zaprzeczał, jakoby jego dane wykradziono, mimo iż pojawił się na opublikowanej przez Clop liście na tzw. dark web leak site. Dopiero teraz firma przyznała, że dane klientów zostały jednak przejęte przez nieautoryzowaną stronę trzecią, która wykorzystała lukę w platformie Cleo.

Nie odnotowano jednak dowodów na to, by systemy samego Hertza zostały bezpośrednio zainfekowane – co oznacza, że incydent był wynikiem tzw. supply chain attack, coraz częściej spotykanego we współczesnym krajobrazie cyberzagrożeń.

Warto podkreślić, że tego typu ataki są szczególnie trudne do wykrycia i przeciwdziałania, ponieważ ich źródłem nie są bezpośrednio systemy ofiary, lecz zewnętrzne firmy technologiczne dostarczające usługi bądź oprogramowanie.

Choć Hertz nie podał dokładnej liczby wszystkich poszkodowanych, to skala incydentu – rozciągająca się na wiele kontynentów – sugeruje poważne konsekwencje prawne i wizerunkowe. Firma „już” rozpoczęła proces powiadamiania klientów w poszczególnych krajach.