黑客利用一款熱門文件共享工具的漏洞，從汽車租賃巨頭赫茲公司竊取了數千個社會安全號碼和駕照號碼。

Hertz 擁有其同名汽車租賃公司以及 Dollar 和 Thrifty 等頂級品牌，上周開始向加利福尼亞州、緬因州、德克薩斯州和佛蒙特州的州監管機構報告數據泄露事件。

該公司沒有向緬因州的監管機構報告全國總人數，緬因州的監管機構通常會收集這些信息。赫茲的一位發言人拒絕透露總體上有多少人受到影響——只告訴 Recorded Future News，“說數百萬客戶受到影響是不準確的。

發給德克薩斯州的通知稱，該州有 96,665 名居民受到影響，緬因州居民人數為 3,409 人，這意味著全國人數可能還有數萬人。

易受攻擊的軟件是文件共享平臺Cleo。赫茲在向Recorded Future News發表的評論以及向受害者發出的泄露通知信中解釋稱，其“出于有限目的”使用Cleo，但在2月份發現黑客于2024年10月和12月利用該軟件中的一個零日漏洞進行了攻擊。

被盜的信息包括聯系信息、支付卡信息、駕駛執照以及與工傷賠償索賠相關的信息。其他人則擁有社會安全號碼、政府 ID、護照、醫療保險或醫療補助 ID，或與通過黑客泄露的車輛事故索賠相關的傷害相關信息。

赫茲表示，已向執法部門報告了此事，并正在通過Kroll為受害者提供兩年的身份保護服務。赫茲于4月11日開始通過電子郵件、泄露通知信以及在公司網站上發布通知來告知受害者。

該公司的一位發言人表示，法醫調查顯示，赫茲的網絡實際上從未受到此次事件的影響。

“然而，在眾多受此次事件影響的公司中，我們已確認赫茲的數據被一名未經授權的第三方獲取，據我們了解，該第三方在2024年10月和12月利用了Cleo平臺中的零日漏洞，”該發言人表示。

在過去兩個月里，多家公司承認受到了Cleo漏洞利用的影響。兩周前，美國食品制造巨頭WK Kellogg證實，黑客通過同一漏洞竊取了員工信息。上個月，總部位于鳳凰城的西部聯盟銀行表示，超過20,000人的信息通過其Cleo實例被盜。

赫茲是 Clop 勒索軟件團伙于 10 月點名的數百家公司和組織之一，此前該組織聲稱它是利用 Cleo 漏洞的幕后黑手。IT巨頭惠普企業（Hewlett Packard Enterprise）和湯森路透（Thomson Reuters）旗下的Legal Tracker子公司也被Clop點名，這兩家公司均確認發生了有限的數據泄露事件，或表示正在調查相關指控。

本公眾號所發布的文章皆源自于互聯網轉載或作者投稿并授予的原創作品，文章末尾有詳細出處標注，其內含內容及圖片之版權均屬于原網站或作者本人，本公眾號對此不持立場，若發現有非故意侵權或轉載失當之處，敬請隨時聯系我們進行妥善處理！文章來源：https://therecord.media/

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明