Fuite de données massive chez Hertz dont le permis de conduire et les infos bancaires des clients !
Hertz, un géant dans le domaine de la location de véhicules, alerte sur une cyberattaque ayant mené au vol de données sensibles de ses clients. Voici ce que l'on sait.
Une faille dans la plateforme Cleo à l’origine de la fuite
La société américaine Hertz Corporation a révélé avoir été victime d’un important vol de données touchant ses marques Hertz, Thrifty et Dollar. Dans un communiqué de presse, Hertz apporte des précisions sur cet incident de sécurité.
"Le 10 février 2025, nous avons pu confirmer que les données de Hertz ont été acquises par un tiers non autorisé qui, selon nous, a exploité
les vulnérabilités zero-day de la plateforme Cleo en octobre et décembre 2024.", peut-on lire.
Cette cyberattaque serait donc liée à une faille de sécurité zero-day présente dans la plateforme Cleo. Cette vulnérabilité a fait beaucoup de bruit l'année dernière, et visiblement Hertz est dans la liste des victimes. Même si le communiqué n'y fait pas référence, il y a des chances pour que la faille exploitée soit la CVE-2024-50623. Elle a été largement exploitée par le groupe de cybercriminels Clop, également à l'origine de cette attaque.
Suite à la détection de cette intrusion, Hertz a immédiatement ouvert une enquête. L'objectif étant de "déterminer l'ampleur de l'événement et d'identifier les personnes dont les informations personnelles pourraient avoir été affectées."
Hertz : des données personnelles compromises
Les informations compromises varient selon les victimes, mais Hertz précise que les données volées peuvent inclure les noms, coordonnées, dates de naissance, informations de cartes bancaires et permis de conduire. Dans certains cas, d'autres données ont pu être exposées :
"Un très petit nombre de personnes peuvent avoir eu leur numéro de sécurité sociale ou d'autres numéros d'identification officiels, des informations sur leur passeport, leur identifiant Medicare ou Medicaid (associé aux demandes d'indemnisation des employés), ou des informations relatives aux blessures associées aux réclamations d'accidents de véhicules affectées par l'événement.", peut-on lire.
Il s'agit donc d'une fuite de données importante et qui pourrait être exploitées pour mener d'autres actions malveillantes. Nous pensons notamment aux habituelles campagnes de phishing. D'ailleurs, Hertz offre désormais un accès gratuit (pendant 2 ans) à un outil de monitoring pour surveiller une éventuelle usurpation d'identité.
Nous ignorons combien de personnes sont concernées par cette fuite de données, car Hertz n'a pas donné le moindre chiffre à ce sujet. La seule donnée publique provient de l'État du Maine aux États-Unis : 3 409 résidents de cet État ont été notifiés. D'autres notifications ont également été envoyées en Californie et au Vermont.
De son côté, le groupe de cybercriminels Clop a publié les données volées sur son "site vitrine" : la prudence reste de mise...
