Hertz Corporation ha confirmado una brecha de seguridad que ha comprometido datos personales de clientes de sus marcas Hertz, Thrifty y Dollar. El incidente se originó por vulnerabilidades de día cero en la plataforma de transferencia de archivos de su proveedor Cleo Communications, explotadas por atacantes en octubre y diciembre de 2024. La compañía detectó el acceso no autorizado el 10 de febrero de 2025 y, desde entonces, ha estado investigando el alcance del suceso y notificando a las personas afectadas.
Los datos comprometidos varían según el individuo, pero pueden incluir nombres, información de contacto, fechas de nacimiento, números de licencia de conducir, detalles de tarjetas de crédito y datos relacionados con reclamaciones por accidentes laborales. En un número reducido de casos, también se han visto afectados números de seguridad social, pasaportes y otros identificadores gubernamentales.
Hertz ha asegurado que su propia red interna no fue comprometida y que, hasta la fecha, no hay evidencia de uso fraudulento de la información robada. No obstante, la empresa ha alertado a las autoridades y reguladores pertinentes y ha ofrecido servicios de monitoreo de identidad gratuitos durante dos años a los clientes potencialmente afectados, como medida preventiva.
Este incidente se suma a una serie de ciberataques recientes relacionados con vulnerabilidades en plataformas de transferencia de archivos, como el caso de WK Kellogg, que también fue víctima de un ataque similar. Estos eventos subrayan la creciente amenaza que representan los ciberataques para las empresas y la importancia de reforzar las medidas de seguridad en los sistemas de terceros.
Fuente: Bleeping Computer
Imagen: Enjosmith en Flickr