Hertz confirma vazamento de dados: Informações pessoais e carteiras de motorista de clientes foram roubadas

A gigante do setor de aluguel de carros, Hertz, começou a notificar seus clientes sobre um vazamento de dados que expôs informações pessoais e carteiras de motorista. O incidente está relacionado a um ataque cibernético contra um fornecedor da empresa, ocorrido entre outubro e dezembro de 2024.

De acordo com comunicados publicados nos sites da Hertz — que também controla as marcas Dollar e Thrifty — os dados roubados variam de acordo com a região, mas incluem em sua maioria nomes, datas de nascimento, informações de contato, dados de pagamento, carteiras de motorista e registros de compensação trabalhista. Um número menor de clientes também teve números de seguridade social e outros documentos oficiais vazados.

A Hertz divulgou o incidente para clientes da Austrália, Canadá, União Europeia, Nova Zelândia e Reino Unido, além de ter notificado autoridades de diversos estados norte-americanos, como Califórnia e Maine — este último com pelo menos 3.400 clientes afetados, embora o número real de vítimas seja consideravelmente maior.

Segundo Emily Spencer, porta-voz da Hertz, o número total de clientes afetados não chega a milhões, mas também não foi especificado. A empresa atribui o incidente ao seu fornecedor de software, a Cleo, que foi alvo de uma campanha massiva de ataques realizada por um grupo de ransomware ligado à Rússia em 2024.

A Hertz fazia parte de um conjunto de dezenas de empresas que utilizavam os produtos da Cleo — voltados à transferência segura de arquivos corporativos. O grupo de hackers conhecido como Clop alegou ter explorado uma falha zero-day na plataforma da Cleo para roubar grandes volumes de dados de seus clientes empresariais.

Logo após os ataques, o Clop publicou em seu site na dark web que havia roubado dados de cerca de 60 empresas por meio da falha nos sistemas da Cleo. Posteriormente, o grupo alegou ter comprometido ainda outras dezenas de organizações. Essa campanha de extorsão de dados se tornou um dos maiores ciberataques em massa de 2024.

Na época, mesmo tendo seu nome listado no site do grupo Clop, a Hertz afirmou não haver indícios de que seus dados ou sistemas tivessem sido comprometidos. No entanto, nesta segunda-feira, a empresa confirmou que dados de clientes da Hertz foram sim acessados por um invasor, que explorou vulnerabilidades zero-day na plataforma da Cleo durante os meses de outubro e dezembro de 2024.

Via - TC