کمیته رکن چهارم – شرکت اجاره خودروی Hertz تأیید کرده است که بر اثر یک حمله سایبری به یکی از شرکتهای پیمانکار نرمافزاری، اطلاعات شخصی مشتریان این شرکت از جمله گواهینامههای رانندگی و شمارههای شناسایی به سرقت رفته است.
به گزارش کمیته رکن چهارم، این نقص امنیتی که بین ماههای اکتبر تا دسامبر سال ۲۰۲۴ روی داده، به سرقت دادههایی از جمله نام، تاریخ تولد، اطلاعات تماس، اطلاعات کارت پرداخت، گواهینامه رانندگی و در برخی موارد شمارههای شناسایی صادرشده توسط دولت از جمله شمارههای امنیت اجتماعی منجر شده است. همچنین اطلاعات مرتبط با مطالبات بیمه کارگران نیز در میان دادههای فاششده وجود داشته است.
این نقص امنیتی، کاربران در کشورهای مختلف از جمله استرالیا، کانادا، اتحادیه اروپا، نیوزیلند و بریتانیا را تحت تأثیر قرار داده است. در ایالات متحده نیز گزارشهایی از آسیبدیدن مشتریان در ایالتهای کالیفرنیا و مین منتشر شده است. تنها در ایالت مین، اطلاعات حداقل ۳٬۴۰۰ نفر به بیرون درز کرده و منابع معتقدند که تعداد واقعی افراد آسیبدیده ممکن است بسیار بیشتر باشد.
عامل اصلی این رخنه امنیتی، آسیبپذیری در نرمافزارهای انتقال فایل سازمانی شرکت Cleo بوده است؛ نرمافزارهایی که پیشتر نیز در یکی از بزرگترین حملات سایبری سال ۲۰۲۴ توسط گروه باجافزار روسزبان Clop مورد سوءاستفاده قرار گرفته بودند. هرچند شرکت Hertz در زمان اولیه افشای این حمله اعلام کرده بود که هیچ نشانهای از نفوذ مستقیم به سیستمهای داخلی خود مشاهده نشده، اما در بیانیه اخیر خود تأیید کرده است که دادههای مشتریان از طریق همین آسیبپذیری و توسط یک گروه هکری استخراج شدهاند.
سخنگوی شرکت Hertz در گفتوگو با رسانهها تأکید کرده که نمیتوان گفت میلیونها نفر تحت تأثیر قرار گرفتهاند، اما از ارائه آمار دقیق خودداری کرده است. این موضوع نگرانیهای زیادی را نسبت به امنیت اطلاعات کاربران در شرکتهای اجاره خودرو و نحوه محافظت از دادههای حساس برانگیخته است.
