Hertz称数据泄露事件中客户个人数据及驾驶证被盗

租车巨头 Hertz 已开始通知其客户，称数据泄露事件中包含了他们的个人信息及驾驶证信息。

这家租车公司（同时拥有 Dollar 和 Thrifty 品牌）在其网站的通知中表示，此次数据泄露与 2024 年10 月至 2024 年12 月期间对其一供应商的网络攻击有关。

被盗数据因地区而异，但主要包括 Hertz 客户的姓名、出生日期、联系信息、驾驶证、支付卡信息以及工伤赔偿申请。Hertz 表示，在此次泄露中，还有少部分客户的社会安全号码及其他政府颁发的身份证号码被窃取。

Hertz 在其网站上向澳大利亚、加拿大、欧盟、新西兰和英国的客户通报了此次泄露事件。

Hertz 同时也向包括加利福尼亚和缅因在内的多个美国州披露了这一泄露事件。Hertz 表示，至少有 3,400 位缅因州客户受到了影响，但未公布受影响的总人数，而实际数字可能远高于此。

Hertz 的发言人 Emily Spencer 没有向 TechCrunch 提供具体受影响人数，不过她表示，称此次事件影响了数百万客户“是不准确的”。

该公司将此次泄露归咎于其一供应商——软件制造商 Cleo。去年，Cleo 曾因被一个臭名昭著的与俄罗斯有关的勒索软件团伙大规模黑客攻击而成为焦点。

Hertz 是当时使用 Cleo 软件的数十家公司之一。据 Clop 勒索软件团伙称，去年他们利用 Cleo 广泛使用的企业文件传输产品中存在的零日漏洞进行攻击，而这款产品允许企业通过互联网共享大量敏感数据。通过入侵这些系统，黑客从 Cleo 的企业客户那里窃取了大量数据。

不久之后，Clop 勒索软件团伙在其暗网泄露网站上声称，借助该漏洞从接近 60 家公司的 Cleo 系统中窃取了数据。在之后的一篇帖子中，Clop 又声称有数十家企业成为其所谓的受害者。

这一数据敲诈活动成为 2024 年最引人注目的大规模黑客攻击事件之一。

当时，Hertz 在被 Clop 网站列名后表示，没有“证据”表明 Hertz 的数据或系统受到了影响。

周一，Hertz 的发言人告诉 TechCrunch，公司没有发现 Hertz 自身网络受到此次泄露影响的证据，但确认 Hertz 数据“确实被一未经授权的第三方获取，据我们了解，该第三方利用了 Cleo 平台在 2024 年10 月和 2024 年12 月期间存在的零日漏洞。”

一名 Cleo 高管在周一未对 TechCrunch 的询问作出回应。