Atak, który trwał miesiącami
To nie był przypadkowy incydent. Hertz Corporation, jedna z największych firm zajmujących się wynajmem samochodów na świecie, potwierdziła naruszenie danych, które dotknęło klientów trzech należących do niej marek: Hertz, Thrifty oraz Dollar. Problem ma swoje źródło w lukach bezpieczeństwa typu zero-day, które umożliwiły cyberprzestępcom dostęp do systemów platformy Cleo – narzędzia służącego do bezpiecznego przesyłania danych. Luka była aktywnie wykorzystywana co najmniej w dwóch różnych okresach – w październiku oraz grudniu 2024 roku. Przez ten czas dane gromadzone przez firmę mogły trafiać w ręce osób trzecich. Hertz oficjalnie przyznał, że 10 lutego 2025 roku potwierdzono pozyskanie danych przez nieautoryzowaną stronę trzecią. Od razu po wykryciu incydentu rozpoczęto analizę danych, by ustalić, jak szeroki był zakres ataku i które dane mogły zostać przejęte. Sytuacja jest poważna – dotyczy informacji wrażliwych, w tym danych kontaktowych, dat urodzenia, numerów praw jazdy, a także – w niektórych przypadkach – danych dotyczących kart kredytowych czy roszczeń ubezpieczeniowych.
Przejrzystość czy konieczność?
Nie wiadomo dokładnie, ilu klientów na świecie padło ofiarą ataku. Hertz nie podał globalnej liczby poszkodowanych, ale oficjalne dane od amerykańskich urzędów pokazują skalę problemu. Prokurator generalny stanu Maine potwierdził, że powiadomienia zostały wysłane do 3409 osób zamieszkałych na terenie stanu. Powiadomienia wysłano również do mieszkańców Kalifornii i Vermontu, choć tam nie podano dokładnych liczb. Co istotne, Hertz w komunikacie zaznacza, że zakres danych różni się w zależności od osoby. W nielicznych przypadkach przestępcy mogli wejść w posiadanie jeszcze bardziej szczegółowych informacji – takich jak numery ubezpieczenia społecznego, dokumenty tożsamości czy dane dotyczące obrażeń związanych z roszczeniami odszkodowawczymi. Chociaż firma podkreśla, że nie ma dowodów na wykorzystanie skradzionych danych w celach przestępczych, to wiadomo, że grupa ransomware Clop umieściła część z nich na swojej stronie wymuszeń. Dla każdego, kto śledzi działania tej grupy, jest to wyraźny sygnał: dane zostały przejęte i są wykorzystywane w celach szantażu.
Clop wraca z nową strategią
Za atakiem stoi dobrze znany gang ransomware Clop – ten sam, który w przeszłości odpowiadał za spektakularne wycieki danych z firm na całym świecie. Grupa ta działa aktywnie od 2019 roku, początkowo koncentrując się na atakach z wykorzystaniem oprogramowania szyfrującego. Z czasem jednak zmieniła taktykę. Od 2020 roku ich główną metodą działania stało się wyszukiwanie i wykorzystywanie luk typu zero-day – niewykrytych dotąd błędów w zabezpieczeniach, które pozwalają im uzyskać dostęp do danych bez wiedzy właściciela systemu. Tym razem ich celem była platforma Cleo, a dokładniej jej komponenty do bezpiecznego przesyłania plików: Cleo Harmony, VLTrader i LexiCom. W październiku 2024 roku Clop przeprowadził masową operację, w której – według ich własnych deklaracji – dane zostały wykradzione z systemów co najmniej 66 firm. Hertz jest jedną z pierwszych, która oficjalnie potwierdziła, że padła ofiarą tego ataku. Wcześniej Clop uderzył m.in. w platformy MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U i Accelion FTA. To nie przypadek – wszystkie te systemy służą do transferu danych, co czyni je naturalnym celem dla przestępców szukających luk tam, gdzie przechowywane są dane wrażliwe.
Hertz próbuje ratować sytuację
W odpowiedzi na incydent Hertz zaoferował klientom dotkniętym naruszeniem dwa lata darmowego monitorowania tożsamości. To standardowa praktyka, mająca na celu ochronę poszkodowanych przed ewentualnym wykorzystaniem ich danych w przyszłości. Firma podkreśla też, że mimo wycieku nie ma dowodów na to, że dane zostały użyte do przeprowadzenia oszustw.Nie zmienia to jednak faktu, że zaufanie klientów zostało wystawione na próbę. Dla wielu z nich informacja, że ich prawo jazdy, dane kontaktowe, a w niektórych przypadkach także dokumenty tożsamości trafiły w niepowołane ręce, może być źródłem stresu i niepewności przez długi czas.
