赫兹租车遭重大数据泄露：驾照与信用卡信息被盗

HackerNews 编译，转载请注明出处： 全球领先汽车租赁公司赫兹集团（Hertz Corporation）正就数据泄露事件通知客户及监管机构，确认客户敏感信息遭窃。 黑客窃取内容包括： 客户姓名 联系方式 出生日期 信用卡信息 驾照信息 根据数据事件通知，此次泄露还涉及工伤赔偿相关数据。赫兹声明：“极少数个体的社会安全号码、政府签发的其他身份证明、护照信息、医疗保险/医疗补助ID（关联工伤索赔）或车辆事故索赔中的伤情信息可能受影响。” 公司未披露受影响总人数。根据向缅因州总检察长办公室提交的文件，确认该州3,409位居民信息遭泄露。赫兹还向欧盟、英国及其他国家发布了独立的数据事件通告。 数据窃取确认于2025年2月10日。赫兹解释称，攻击者利用文件传输平台Cleo的零日漏洞（分别于2024年10月和12月被利用）。赫兹使用该平台仅用于有限用途”。 Cl0p勒索组织疑似幕后黑手。 Cybernews此前报道Cleo遭俄罗斯关联勒索组织Cl0p攻击。去年末，该组织威胁将公开约60家公司数据以胁迫赎金谈判。尽管泄露网站名单经脱敏处理，但包含”hertz####”条目。 Cleo软件产品（包括Harmony、VLTrader、LexiCom）广泛用于安全文件传输与业务整合流程。攻击者利用关键零日漏洞CVE-2024-50623和CVE-2024-55956（CVSS评分9.8/10）。漏洞允许未授权攻击者通过自动运行目录默认设置，在主机系统执行任意Bash/PowerShell命令，并存在可导致远程代码执行的无限制文件上传/下载风险。 Cleo声称拥有超过4,200家企业客户，去年曾强烈建议客户立即升级所有软件实例。Cl0p的此次攻击手法类似史上最大规模黑客活动MOVEit攻击（2023年影响超2,600家机构及9,000万个人，据称获利7,500万至1亿美元）。 目前Cl0p泄露网站公告称赫兹等57家公司无视赎金通知，故已发布完整文件”。赫兹集团旗下拥有Hertz、Dollar、Thrifty品牌，现为受影响客户提供两年免费身份监控服务。 公司声明：“赫兹确认Cleo已着手调查事件并修复漏洞，同时已向执法部门报告并将向相关监管机构通报。”尽管未发现泄露信息遭滥用，赫兹仍建议客户防范潜在欺诈，定期核查账户异常活动。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文