Lo scorso 2 aprile la compagnia di autonoleggio Hertz ha concluso l’analisi di una violazione informatica che ha coinvolto i dati personali di numerosi suoi clienti in tutto il mondo.
I dati sottratti includono nomi, date di nascita, informazioni di contatto, numeri di patente, dati di carte di credito, richieste di indennizzo lavorativo e, in alcuni casi, numeri di previdenza sociale o altri documenti identificativi rilasciati da enti governativi.
Hertz e lo spostamento laterale
Il furto non è avvenuto direttamente attraverso i sistemi di Hertz, ma tramite una falla nei sistemi di Cleo Communications US, un fornitore di software aziendale che la compagnia utilizza “per scopi limitati”.
Cleo è specializzata in soluzioni per il trasferimento sicuro di grandi volumi di dati e serve numerose aziende a livello globale.
Secondo quanto dichiarato dalla portavoce di Hertz, “la nostra indagine forense non ha trovato alcuna evidenza che la rete interna di Hertz sia stata compromessa”.
La società ha però confermato che “i dati di Hertz sono stati acquisiti da una terza parte non autorizzata, che riteniamo abbia sfruttato vulnerabilità zero-day all’interno della piattaforma Cleo nei mesi di ottobre e dicembre 2024”.
La matrice russa
Non è la prima volta che il software Cleo finisce nel mirino degli hacker. Nel corso del 2024, infatti, un gruppo ransomware di matrice russa, noto come Clop, ha lanciato una campagna su larga scala sfruttando proprio una vulnerabilità zero-day presente nei prodotti per il trasferimento file di Cleo.
Il risultato è stato il furto di dati da decine di aziende clienti. L’attacco è stato uno dei più rilevanti dell’anno e ha colpito anche Hertz, che compare nella lista delle vittime pubblicata sul dark web dagli stessi autori dell’attacco.
Per rispondere all’emergenza, Cleo ha rilasciato un aggiornamento correttivo del proprio software nel dicembre 2024, ma il danno era ormai compiuto. A oggi, Hertz ha notificato la violazione ai clienti residenti in più continenti, tra cui Australia, Canada, Unione Europea, Nuova Zelanda e Regno Unito.
La compagnia, che controlla anche i marchi Dollar e Thrifty, non ha ancora fornito una stima complessiva del numero di persone coinvolte, ma è probabile che la portata del furto sia significativa.
Emily Spencer, portavoce dell’azienda, ha rifiutato di fornire numeri precisi ma ha affermato che “sarebbe inesatto affermare che siano milioni”.
L’episodio conferma come la catena di fornitura rappresenti oggi uno dei punti più vulnerabili nella sicurezza informatica delle grandi aziende.
Anche realtà apparentemente estranee agli attacchi possono finire esposte a gravi violazioni semplicemente affidandosi a partner poco protetti o a tecnologie compromesse.
