Uma gigante do aluguel de carros informou que dados sensíveis de clientes foram expostos em um incidente de cibersegurança envolvendo um de seus fornecedores. Em um aviso publicado em seu site, a Hertz afirmou que seu fornecedor, Cleo Communications US, sofreu uma exploração de vulnerabilidade zero-day no final do ano passado, permitindo que ladrões extraíssem dados de clientes. Notificações em vários sites de governos estaduais indicam que pelo menos 100.000 pessoas foram afetadas. A Hertz informou que a violação de dados expôs informações de clientes, incluindo nomes, detalhes de contato, registros de cartões de crédito e números de carteiras de motorista. A empresa também mencionou que um “número muito pequeno de indivíduos” teve seus números de Seguro Social, registros de passaporte, IDs de Medicare ou Medicaid e informações relacionadas a sinistros de acidentes veiculares expostos.
Em 10 de fevereiro de 2025, a Hertz confirmou que dados da empresa foram adquiridos por uma terceira parte não autorizada, que explorou vulnerabilidades zero-day na plataforma da Cleo em outubro e dezembro de 2024. A Hertz imediatamente começou a analisar os dados para determinar o alcance do evento e identificar indivíduos cujas informações pessoais possam ter sido impactadas. A Hertz utiliza a Cleo como uma plataforma de transferência de arquivos para “fins limitados” e o fornecedor tomou medidas imediatas para resolver as falhas de segurança. A Hertz não divulgou quantos de seus clientes foram afetados pela violação de dados. A empresa também enviou cartas aos seus clientes para informar sobre o incidente de segurança, oferecendo serviços gratuitos de monitoramento de identidade para os indivíduos cujos registros foram roubados.
Embora a Hertz não tenha conhecimento de qualquer uso indevido de informações pessoais para fins fraudulentos em conexão com o evento, a empresa incentiva os indivíduos potencialmente impactados a permanecerem vigilantes quanto à possibilidade de fraudes ou erros, revisando extratos de contas e monitorando relatórios de crédito gratuitos para qualquer atividade não autorizada, relatando qualquer atividade desse tipo.