La empresa de alquiler de coches estadounidense, Hertz Corporation, confirmó que sufrió una filtración de datos en la que se robó información personal de clientes de sus marcas Hertz, Thrifty y Dollar, debido a vulnerabilidades explotadas en la plataforma de transferencia de archivos de Cleo.
Brecha causada por vulnerabilidades zero-day
Hertz explicó que el 10 de febrero de 2025 confirmó que actores no autorizados accedieron a sus datos luego de explotar vulnerabilidades zero-day en Cleo Harmony, VLTrader y LexiCom, durante octubre y diciembre de 2024.
“Hertz comenzó inmediatamente a analizar la información afectada para determinar su alcance e identificar a los individuos impactados”, señaló la empresa.
¿Qué datos fueron robados?
Los datos robados varían según la persona, pero pueden incluir:
- Nombre y datos de contacto
- Fecha de nacimiento
- Información de tarjetas de crédito
- Datos de licencias de conducir
- Información relacionada con reclamos de compensación laboral
Además, en algunos casos también se filtraron números de seguro social, identificaciones gubernamentales, pasaportes y datos médicos relacionados con reclamos por accidentes vehiculares.
Número de afectados y respuesta de Hertz ♂️
Hertz no reveló la cantidad total de personas afectadas, pero en el estado de Maine notificaron a 3,409 clientes y también se emitieron notificaciones en California y Vermont.
La empresa ofrece ahora dos años de monitoreo de identidad gratuito y recomienda a los usuarios estar atentos a posibles fraudes. Aunque no se han reportado usos maliciosos de la información, el grupo de ransomware Clop ya publicó parte de los datos en su sitio de filtraciones.
Clop y los ataques a plataformas de transferencia segura
El grupo Clop, también conocido como TA505, ha cambiado su enfoque desde 2020, pasando del cifrado de sistemas a ataques basados en robo de datos.
Utilizan vulnerabilidades zero-day para infiltrarse en plataformas de transferencia como MOVEit, GoAnywhere MFT, SolarWinds Serv-U y Accelion FTA.
Durante el ataque a Cleo, Clop declaró haber robado datos de 66 empresas, incluyendo a Western Alliance Bank, WK Kellogg Co y Sam’s Club.