Autoverhuurbedrijf Hertz heeft bevestigd dat er klantgegevens zijn gestolen tijdens een datalek, waarbij ook gegevens van de merken Thrifty en Dollar zijn getroffen.
Het datalek vond plaats na aanvallen waarbij misbruik werd gemaakt van zero-day kwetsbaarheden in het platform van Cleo. Dit meldt BleepingComputer.
Volgens de melding van het datalek ontdekte Hertz Corporation op 10 februari 2025 dat een onbevoegde derde partij toegang had verkregen tot hun gegevens. Deze partij zou gebruik hebben gemaakt van kwetsbaarheden in Cleo’s platform in oktober en december 2024. Hertz Corporation gaf aan direct te zijn gestart met een analyse van de data om te bepalen wat de omvang van het incident was en om te achterhalen welke personen mogelijk geraakt zijn.
Breed scala aan gestolen data
De gestolen gegevens verschillen per persoon, maar kunnen volgens Hertz bestaan uit namen, contactgegevens, geboortedata, creditcardinformatie, rijbewijsgegevens en informatie met betrekking tot letselschadeclaims in het kader van werknemerscompensatie.
Ook meldde het bedrijf dat in enkele gevallen burgerservicenummers of andere overheidsidentificaties zijn buitgemaakt. Bij een klein aantal mensen zou volgens Hertz mogelijk ook gegevens verloren zijn gegaan, zoals paspoortinformatie, Medicare- of Medicaid-nummers (gerelateerd aan werknemerscompensatie), of letselinformatie bij ongevallen met voertuigen.
Hoewel Hertz niet heeft bekendgemaakt hoeveel klanten in totaal zijn getroffen, meldt het kantoor van de procureur-generaal in de Amerikaanse staat Maine dat daar 3.409 personen een melding hebben ontvangen. Ook klanten in Californië en Vermont zijn geïnformeerd, maar het aantal voor die staten is niet bekendgemaakt.
Gratis identiteitsmonitoring als compensatie
Hertz biedt de getroffen klanten nu twee jaar gratis identiteitsmonitoring aan. Het bedrijf adviseert alert te zijn op mogelijke fraude. Hoewel er tot nu toe geen aanwijzingen zijn dat de persoonlijke informatie daadwerkelijk voor frauduleuze doeleinden is misbruikt, is eerder bekend geworden dat de Clop-ransomwaregroep de gestolen gegevens op hun afpersingswebsite heeft gepubliceerd.