Der international tätige Autovermieter Hertz hat über einen Datendiebstahl informiert. Der Breach steht laut Mitteilung in Zusammenhang mit einem Cyberangriff auf Cleo, einem IT-Dienstleister von Hertz. Das US-Softwareunternehmen bietet unter anderem Lösungen für den Datentransfer an.

"Am 10. Februar 2025 haben wir bestätigt, dass Hertz-Daten von einem unbefugten Dritten erlangt wurden, der nach unserer Kenntnis Zero-Day-Schwachstellen in der Cleo-Plattform im Oktober 2024 und Dezember 2024 ausnutzte", so die Mitteilung. Hertz habe sofort mit der Analyse der Daten begonnen, die am 2. April abgeschlossen wurde.

Zu den entwendeten Daten könnten Kontakt-, Kreditkarten- und Führerschein-Informationen von Kunden gehören, heisst es weiter. Bei einer kleinen Anzahl seien möglicherweise auch ihre Sozialversicherungs- oder Passdaten betroffen. Ob auch Kundinnen und Kunden ausserhalb der USA dazu gehören, geht aus der Mitteilung nicht hervor. Ebenso wenig wird eine genaue Zahl genannt.

"Unsere forensische Untersuchung hat keine Hinweise ergeben, dass das Netzwerk von Hertz von diesem Vorfall betroffen war", betont der Autovermieter in einer Stellungnahme gegenüber 'Reuters'.

Vor Hertz haben bereits zahlreiche Unternehmen über Datendiebstähle in Zusammenhang mit dem Cleo-Hack informiert. Die in Arizona ansässige Western Alliance Bank gab bekannt, dass Daten von rund 22'000 Kundinnen und Kunden kompromittiert wurden. Ebenfalls bestätigte der Nahrungsmittelproduzent WK Kellogg – ein Spin-off der Marke Kellog's –, dass über einen Cleo-Server, der zum Übertragen von HR-Dateien genutzt wurde, Daten von Angestellten abgeflossen sind.

Bei den Angriffen auf Cleo im Oktober und Dezember wurden die Schwachstellen CVE-2024-50623 und CVE-2024-55956 ausgenutzt. Dazu bekannt hatte sich laut 'Bleeping Computer' bereits im Dezember die Ransomware-Bande Clop. Die Cyberkriminellen haben seither immer mehr angebliche Opfer im Darkweb publiziert und behaupten inzwischen, über die Plattformen von Cleo Daten von mehreren hundert Unternehmen erbeutet zu haben.

In der Liste von Clop zum Cleo-Angriff tauchen weitere grosse Namen auf, so Hewlett Packard Enterprises, HP, Rackspace, Nissin Foods oder DXT Technologies. HPE teilte mit, eine Untersuchung durchzuführen, deren Ergebnisse aber noch nicht veröffentlicht wurden.

Die Bande Clop hat sich von einem Ransomware-Modell mit doppelter Erpressung hin zu reinem Datendiebstahl ohne Verschlüsselung von Systemen umorientiert. Dabei setzt sie vor allem auf Zero-Day-Schwachstellen. Im Sommer 2023 war die Gruppe bereits für zahlreiche Angriffe auf die Moveit-Lücke verantwortlich.

Nach damaligen Schätzungen könnten über 360 Unternehmen von Datendiebstählen via Moveit betroffen gewesen sein. Auch prominente Namen wie EY, PWC, Schneider Electric und Siemens gehörten zu den Clop-Opfern.