A Hertz, uma das maiores locadoras de veículos do mundo, confirmou uma violação de dados que expôs informações sensíveis de clientes, incluindo dados pessoais, carteiras de motorista e informações de pagamento. O incidente está relacionado a um ataque cibernético a um fornecedor terceirizado, ocorrido entre outubro e dezembro de 2024.
Segundo comunicados publicados nos sites da Hertz e de suas marcas afiliadas — Dollar e Thrifty — a falha de segurança comprometeu dados como nomes, datas de nascimento, informações de contato, números de carteira de habilitação, dados de cartão de pagamento e até informações sobre pedidos de indenização trabalhista. Em alguns casos, foram também vazados números de Seguro Social e outros documentos oficiais.
Vazamento global e números alarmantes
A Hertz notificou oficialmente clientes em diversos países, incluindo Austrália, Canadá, União Europeia, Nova Zelândia e Reino Unido. Nos Estados Unidos, Califórnia, Maine e Texas foram alguns dos estados com notificações formais. Só no Texas, cerca de 96.665 clientes foram afetados; no Maine, ao menos 3.400. A empresa, no entanto, não divulgou o total global de vítimas da violação.
Apesar da gravidade, a porta-voz da Hertz, Emily Spencer, afirmou ao TechCrunch que seria “impreciso dizer que milhões” de usuários foram afetados — sem, no entanto, apresentar uma estimativa concreta.
O elo vulnerável: o software da Cleo
A Hertz atribuiu o incidente ao seu fornecedor de software, a Cleo, que foi alvo de uma grande campanha de ransomware em 2024. O grupo hacker Clop, com supostas ligações à Rússia, explorou uma falha de dia zero na plataforma de transferência de arquivos corporativos da Cleo — usada por diversas grandes empresas para o compartilhamento seguro de dados.
Segundo o grupo Clop, dados de quase 60 empresas foram roubados na ocasião, incluindo os da própria Hertz, citada pelo grupo em seu site na dark web. À época, a Hertz afirmou que não havia evidências de que seus sistemas tinham sido comprometidos, mas a recente atualização confirmou que dados da empresa foram de fato adquiridos por terceiros não autorizados.
Uma violação que marca o ano
Esse incidente se soma a uma das maiores campanhas de extorsão digital de 2024, com ramificações ainda em curso. A empresa afirma que a rede interna da Hertz permanece segura, mas reconhece que seus dados foram expostos devido à vulnerabilidade da plataforma Cleo.
