Хакери зламали платформу обміну файлами Cleo, через яку витекли персональні дані щонайменше 100 тисяч користувачів Hertz, включно з номерами водійських посвідчень, соцстрахуванням і платіжною інформацією. Компанія вже розіслала сповіщення та запропонувала постраждалим послуги з захисту особи.
Атака відбулася ще восени 2024 року, однак Hertz виявила факт злому лише у лютому 2025-го. Хакери скористалися zero-day уразливістю платформи Cleo, яка використовується компанією для обмежених задач. Хоча сама внутрішня мережа Hertz не постраждала, дані було викрадено зі сторонньої інфраструктури, пов’язаної з передачею файлів.
За офіційними даними, щонайменше 96 665 осіб у Техасі та 3 409 — у Мен стали жертвами витоку. Враховуючи масштаби Hertz як міжнародного рітейлера, загальне число постраждалих може перевищувати 100 тисяч.
Серед викраденої інформації — контактні дані, реквізити банківських карток, посвідчення водія, ID-документи, а також дані страхових та компенсаційних справ, зокрема щодо нещасних випадків на дорогах.
Cleo — популярна платформа для B2B-файлообміну, яку використовують великі корпорації. Той самий злом раніше зачепив WK Kellogg, Western Alliance Bank, а також низку інших компаній, зокрема HPE та Thomson Reuters. У жовтні 2024 року угруповання Clop заявило про експлуатацію вразливості в Cleo, додавши Hertz до списку жертв. Хоча представники Hertz не підтверджують масштаб атаки, незалежні аналітики припускають, що йдеться про масову компрометацію. Усі постраждалі отримали пропозицію дворічного захисту особи через Kroll.
Інцидент з Hertz — ще один приклад того, як ланцюгові уразливості у сторонньому ПЗ можуть обернутися масштабним витоком даних навіть за наявності внутрішнього захисту. Компанії, які покладаються на зовнішні сервіси, мають не лише регулярно перевіряти свої інтеграції, але й мати план швидкого реагування у разі атаки через партнерів.
117 
83 
84 