Amerikan otomobil kiralama şirketi Hertz, geçen yıl bir fidye yazılımı çetesi tarafından Cleo Zero-Day güvenlik açıklarından sömürülmesine bağlı bir veri ihlali yaşadı.
İhlal, Hertz ve Hertz’in iştiraklerinin bilinmeyen sayıda müşterinin bilgisine neden oldu.
Hertz Veri ihlali bildirimleri
“Cleo, Hertz tarafından sınırlı amaçlar için kullanılan bir dosya aktarım platformu sağlayan bir satıcıdır” diye paylaştı şirket – bu sınırlı amaçların ne olduğunu belirtmedi.
“10 Şubat 2025’te Hertz verilerinin Ekim 2024 ve Aralık 2024’te Cleo’nun platformundaki sıfır gün güvenlik açıklarını anladığımız yetkisiz bir üçüncü taraf tarafından edinildiğini doğruladık.”
Çeşitli markalar altında dünyanın 160’dan fazla ülkesinde faaliyet gösteren Hertz, ABD, AB, Kanada, İngiltere ve Avustralya’daki müşterilere yönelik bildirimler yayınladı.
Bu bildirimlere göre, aşağıdaki bilgi türü tehlikeye atıldı:
- ABD Bireyleri: İsim, İletişim Bilgileri, Doğum Tarihi, Kredi Kartı Bilgileri, ehliyet Bilgileri ve İşçi Tazminat Talepleri ile ilgili bilgiler tehlikeye girer. Hertz, “Çok az sayıda birey sosyal güvenlik veya diğer hükümet kimlik numaraları, pasaport bilgileri, Medicare veya Medicaid Kimliği (işçi tazminat talepleriyle ilişkili) veya olaydan etkilenen araç kazası iddialarıyla ilişkili yaralanma ile ilgili bilgiler olabilir” diye ekledi Hertz
- İngiltere Bireyleri: İsim, İletişim Bilgileri, Doğum Tarihi, ehliyet Bilgileri ve Ödeme Kartı Bilgileri
- Kanadalı bireyler: isim, iletişim bilgileri, doğum tarihi, kredi kartı bilgileri ve ehliyet bilgileri. Bazıları “hükümet kimlik numaraları, araç kazası iddialarıyla ilişkili yaralanmalarla ilgili bilgileri veya işçinin tazminat talepleriyle ilgili bilgileri almış olabilir”
- Avustralya ve AB bireyleri: isim, iletişim bilgileri, doğum tarihi, ehliyet bilgileri ve ödeme kartı bilgileri. Bazıları pasaport bilgilerini tehlikeye atmış olabilir
Maine Başsavcısı Ofisi’nin web sitesinde yayınlanan veri ihlali bildirimi 3.409 Maine sakininin etkilendiğini söylüyor.
Hertz Corporation, bu ihlalden etkilenen toplam birey sayısını paylaşmadı, ancak çeşitli bildirimlerin üç kıtadaki müşteriler için tasarlandığı göz önüne alındığında dikkate değer olabilir.
Şirket, “olayla bağlantılı olarak hileli amaçlar için kişisel bilgilerin herhangi bir kötüye kullanılmasının farkında olmadıklarını”, ancak kişiselleştirilmiş bildirimler gönderilen etkilenen müşterileri, “herhangi bir yetkisiz faaliyet için hesap beyanlarını inceleyerek ve kredi raporlarını izleyerek ve bu tür faaliyetleri rapor ederek” dikkate almaya çağırdı.
Etkilenen bireylere, iki yıl boyunca kimlik izleme veya karanlık web izleme hizmetleri sağlanacaktır.