De Amerikaanse tak van autoverhuurder Hertz heeft klanten en medewerkers gewaarschuwd dat hun persoonlijke gegevens zijn gestolen, waaronder rijbewijsinformatie en creditcardgegevens (pdf). De diefstal vond plaats via een kwetsbaarheid in de file transfer software van Cleo. Cleo’s LexiCom, VLTransfer en Harmony software laat organisaties bestanden uitwisselen. Vorig jaar bleek dat aanvallers op grote schaal misbruik maakten van een onbekende kwetsbaarheid in de software.

Criminelen van de Clop-ransomwaregroep claimden dat ze via het Cleo-lek bij meer dan zestig organisaties gegevens hadden gestolen. Hertz stelt dat het in februari ontdekte dat het ook slachtoffer was geworden. Vervolgens werd onderzoek naar de gestolen data ingesteld. De autoverhuurder zegt dat het op 2 april vaststelde dat er ook persoonlijke gegevens van klanten zijn buitgemaakt.

De gestolen data bestaat uit namen, contactgegevens, geboortedatums., creditcardinformatie en rijbewijsinformatie. Van een 'zeer klein aantal' personen zijn ook social-securitynummers, paspoortinformatie of andere overheidsgerelateerde identificatienummers in handen van de aanvallers gekomen, alsmede informatie over schadeclaims met betrekking tot auto-ongelukken. Van hoeveel personen de gegevens zijn buitgemaakt laat Hertz niet weten. In de Amerikaanse staat Maine zou het in ieder geval om 3400 personen gaan, aldus een datalekmelding aan de procureur-generaal van de staat.