Il colosso del noleggio auto Hertz sta avvisando i propri clienti che informazioni personali, inclusi dettagli delle carte di credito e numeri di previdenza sociale, potrebbero essere stati rubati nell’ambito di un data breach che ha colpito uno dei fornitori dell’azienda. In un avviso pubblicato sul proprio sito web, Hertz ha comunicato che i dati aziendali “sono stati acquisiti da una terza parte non autorizzata” durante un attacco informatico che ha sfruttato vulnerabilità zero-day sulla piattaforma di trasferimento file Cleo Communications tra ottobre e dicembre 2024.

La risposta dell’azienda

Il furto di dati è stato confermato da Hertz il 10 febbraio, con ulteriori analisi completate il 2 aprile che hanno evidenziato come nomi, informazioni di contatto, date di nascita, dati delle carte di credito, dettagli delle patenti di guida e informazioni relative a richieste di risarcimento per infortuni sul lavoro possano essere stati esposti dalla violazione. Hertz ha inoltre dichiarato che “un numero molto piccolo di persone” ha visto i propri numeri di previdenza sociale sottratti nella violazione, insieme a numeri di passaporto e altri dati identificativi rilasciati dal governo. L’azienda ha comunicato che l’incidente è stato segnalato alle forze dell’ordine e alle autorità di regolamentazione competenti, e che Cleo ha da allora risolto “le vulnerabilità identificate”.

Portata globale dell’attacco

L’avviso sul sito web è visibile in diverse regioni, tra cui Stati Uniti, Canada, Unione Europea, Regno Unito e Australia. Hertz non ha rivelato quanti dei suoi clienti siano stati colpiti dalla violazione, ma ha dichiarato di “non essere a conoscenza di alcun uso improprio delle informazioni personali per scopi fraudolenti in relazione all’evento”.

Il gruppo o l’individuo responsabile dell’attacco informatico non è stato identificato. Va notato che Cleo, utilizzato da un’ampia gamma di organizzazioni globali, è stato obiettivo di una massiccia campagna di hacking nell’ottobre dello scorso anno. La gang ransomware Clop, affiliata alla Russia, ha successivamente rivendicato la responsabilità di quegli attacchi, pubblicando dati aziendali di Cleo sul suo sito di estorsione ed elencando 59 organizzazioni che affermava di aver violato attraverso vulnerabilità nella piattaforma Cleo.