Hertz, CLEO yazılım kusuruna bağlı veri ihlalini onaylar; CL0P Fidye Yazılımı Grubu, çalınan verileri sızdırdı, isimleri, sürücü lisanslarını ve kredi kartı ayrıntılarını açığa çıkardı.
Araba kiralama şirketi Hertz, bazı müşterilerinin özel detaylarına izinsiz erişildiğini açıkladı. Bu, Hertz’e yazılım hizmetleri sağlayan bir şirket olan Cleo Communications Us, LLC (CLEO) ‘daki güvenlik açıkları nedeniyle oldu.
Aralık 2024’te CL0P fidye yazılımı grubunun, Cleo’nun yönetilen dosya aktarım yazılımındaki güvenlik açıklarından yararlanmanın sorumluluğunu üstlendiğini ve büyük miktarlarda kurumsal verilerin çalınmasına yol açtığını belirtmek gerekir. Birkaç gün sonra, grup çalınan Hertz veri arşivini karanlık web sızıntı sitesinde yayınladı.
Dolar ve Thrifty Araba Kiralama Markalarına sahip olan Hertz, resmi basın bülteninde (PDF), Cleo’nun Hertz’in belirli görevler için dosya göndermek için kullandığı bir sistem çalıştırdığını açıkladı. 10 Şubat 2025’te Hertz, verilerinin bir kısmının, hertz’in zayıflıklardan yararlandığına, sıfır gün güvenlik açıklarından yararlandığına inanan ve yazılımında sömürüldüğünü ve Ekim 2024 ve Aralık 2024’te kullanıldığını öğrendi.
Şüpheli aktiviteyi tespit ettikten hemen sonra Hertz, ne olduğunu ve hangi bilgilerin ortaya çıkabileceğini anlamak için bir soruşturma başlattı. Bu soruşturma, 2 Nisan 2025’te, erişilen verilerin adları, iletişim bilgilerini, doğum tarihlerini, kredi kartı numaralarını ve ehliyet bilgilerini içerebileceğini ortaya koydu.
Şirket, “Çok az sayıda bireylerin sosyal güvenlik veya diğer hükümet kimlik numaraları, pasaport bilgileri, Medicare veya Medicaid kimliği (işçi tazminat talepleriyle ilişkili) veya araç kazası talepleriyle ilişkili yaralanma ile ilgili bilgileri almış olabilir” diye etkilenebilir.
Hertz, Cleo’nun sorunu araştırdığını ve yazılım sorunlarını çözdüğünü ve bu veri ihlalini polise ve diğer devlet kurumlarına zaten bildirdiklerini doğruladı. Ekstra dikkatli olmak için Hertz, Kroll adlı bir şirket aracılığıyla etkilenebilecek kişilere iki yıllık ücretsiz kimlik izleme veya karanlık web izleme hizmetleri sunuyor.
Özellikle, Maine Başsavcısı ile yapılan bir veri ihlali bildirimi, Maine 3.409 sakininin bu veri ihlalinden etkilendiğini ortaya koymaktadır. Bu sayı 1.000’i aştığından, Hertz, Maine’deki yasaların gerektirdiği şekilde tüketici raporlama ajanslarını bilgilendirdi. Maine Başsavcısı’nın dosyalamasına göre, ihlal, güvenlik olayının doğası hakkında daha iyi bir anlayış sağlayarak “dış sistem ihlali (hackleme)” olarak sınıflandırılır.
Herts, şu anda kimsenin bilgisinin sahtekarlık yapmak için kullanıldığına dair bir kanıt olmadığını iddia ediyor. Şirket ayrıca, daha fazla sorunuz varsa aramanız için hesap beyanlarının ve kredi raporlarının düzenli olarak kontrol edilmesini önermektedir ve 866-408-8964 telefon numarası vermiştir.
Şirket, kredi dosyalarına bir sahtekarlık uyarısı da ekleyebilirsiniz. Bir başlangıç uyarısı bir yıl sürer. Bir sahtekarlık uyarısı ayarlamak için Equifax, Experian veya TransUnion ile iletişime geçmeniz gerekir.
Başka bir seçenek de kredi raporunuza bir “kredi donması” koymaktır. Bu, kredi bürolarının kişinin izni olmadan bilgi paylaşmasını durdurur. Bu, yeni kredi hesaplarının bilgisi olmadan birinin adına açılmasını önlemeye yardımcı olabilir. Ancak Hertz, bir kredi dondurmanın hızlı bir şekilde ihtiyacınız varsa yeni kredilerin veya kredilerin onayını geciktirebileceği veya önleyebileceği konusunda uyarır.
Massachusetts merkezli uygulama güvenliği çözümleri sağlayıcısı Burlington Black Duck’ın altyapı güvenlik uygulama direktörü Thomas Richards, en son geliştirme hakkında yorum yaptı:
“Müşterilerin böyle bir saldırıda hassas bilgilerini tehlikeye atmaları inanılmaz derecede talihsiz bir durumdur. Veriler, siber suçlular için bir para birimidir ve bu nedenle, hassas bilgileri barındıran tüm kuruluşların, bunun gibi bir tavizleri tekrar olmasını önlemek için siber güvenlik duruşlarını iyileştirmek için önlemler alarak yazılım risklerini yönetmeleri önemlidir.