Hertz telah mengkonfirmasi bahwa data pelanggan telah dicuri selama serangan cyber di Cleo Communications, vendor pihak ketiga yang menyediakan layanan transfer file. Perusahaan mengatakan pelanggaran itu terjadi ketika “kerentanan nol-hari dalam platform Cleo” dieksploitasi pada bulan Oktober dan Desember 2024-serangan yang dikaitkan dengan “pihak ketiga yang tidak berwenang.”
Informasi curian bervariasi berdasarkan wilayah, tetapi terutama mencakup nama pelanggan, tanggal kelahiran, detail kontak, nomor SIM, informasi kartu pembayaran, dan dalam beberapa kasus, nomor jaminan sosial atau ID yang dikeluarkan pemerintah lainnya. Hertz mengatakan “sejumlah kecil pelanggan mengambil nomor jaminan sosial mereka,” di samping catatan “klaim kompensasi pekerja.”
Pelanggaran ini mencakup beberapa wilayah, dengan pemberitahuan yang diposting untuk pelanggan di AS, UE, Inggris, Kanada, Australia, dan Selandia Baru. Dalam pengajuan peraturan, perusahaan mengungkapkan setidaknya 96.665 orang Texas dan 3.400 Mainers terpengaruh, meskipun belum mengungkapkan jumlah penuh yang dipengaruhi oleh pelanggaran tersebut. Ketika ditanya oleh TechCrunch, seorang juru bicara mengatakan akan “tidak akurat untuk mengatakan jutaan” pelanggan terpengaruh.
Geng Ransomware Clop, yang tahun lalu menargetkan kerentanan di platform Cleo, telah mengklaim telah melanggar lusinan perusahaan yang menggunakan perangkat lunaknya. Pada saat itu, Hertz terdaftar di antara para korban di situs kebocoran Clop, meskipun pada awalnya menyatakan tidak ada “tidak ada bukti” datanya yang terpengaruh. Posisi itu bergeser ketika perusahaan mengkonfirmasi bahwa datanya “diakuisisi oleh pihak ketiga yang tidak sah.”
Dalam serangan lain, Clop mencuri lebih dari 1 juta catatan pasien, menunjukkan ruang lingkup luas dan taktik agresif kelompok.
Hertz mengatakan dalam sebuah pernyataan kepada Reuters bahwa “penyelidikan forensik kami tidak menemukan bukti bahwa jaringan Hertz sendiri dipengaruhi oleh peristiwa ini,” dan menekankan bahwa mereka tidak mengetahui adanya insiden di mana informasi pribadi yang dilanggar telah disalahgunakan.
Cleo belum menanggapi pertanyaan tentang pelanggaran tersebut. Hertz mengatakan telah menonaktifkan akses ke datanya melalui CLEO dan akan meningkatkan pengawasan vendor pihak ketiga bergerak maju.