كشفت شركة Hirtz العملاقة لتوظيف السيارات عن خرق البيانات في جميع أنحاء العالم يؤثر على المملكة المتحدة وغيرها من الأسواق الرئيسية ، بعد أن تورطت في حل وسط خطير Cleo Communications ‘ مجموعة من منتجات نقل الملفات المدارة (MFT) بواسطة Clop (AKA CL0P) Ransomware Gang.
على الرغم من أن شركة Parent Hertz Corporation – التي تدير شركة الإيجار التي تحمل اسمًا ، تم تسميتها في وقت سابق من قبل Clop على موقع تسربها ، كانت المنظمة قد قالت سابقًا إن هناك كان هناك لا يوجد دليل على التسلل.
في آخر إشعارها ، لم تسمي Clop أو الكشف رسميًا عن هجوم الابتزاز أو الفدية ، لكنه كشف أنه يبدو أن الحادث قد أثر على المعلومات الشخصية لبعض الأفراد.
وقال متحدث باسم: “في 10 فبراير 2025 ، أكدنا أن بيانات Hertz قد تم الحصول عليها من قبل طرف ثالث غير مصرح بها ونفهمها نقاط الضعف المستغلة في يوم صفر في منصة Cleo في أكتوبر 2024 و December 2024. بدأ Hertz على الفور في تحليل البيانات لتحديد نطاق الحدث وتحديد الأفراد الذين قد تأثرت معلوماتهم الشخصية.
“لقد أكملنا تحليل البيانات هذا في 2 أبريل 2025 ، وخلصنا إلى أن المعلومات الشخصية التي ينطوي عليها هذا الحدث قد تتضمن ما يلي فيما يتعلق بأفراد المملكة المتحدة: الاسم ومعلومات الاتصال وتاريخ الميلاد ومعلومات رخصة القيادة ومعلومات بطاقة الدفع.”
أبلغ هيرتز عن الحادث لإنفاذ القانون وهو بصدد إشراك المنظمين الوطنيين ذوي الصلة. كما أنه يعمل مع Kroll لتوفير عامين من خدمات مراقبة الهوية المجانية للأفراد الذين قد يتأثرون. يتم توفير هذا العرض أيضًا العملاء المتضررين في الولايات المتحدة – عندما تأثرت بيانات أخرى بما في ذلك أرقام الضمان الاجتماعي ، وكذلك تحديد Medicare و Medicaid.
العملاء في أسترالياو كندا، ال الاتحاد الأوروبي (الاتحاد الأوروبي) و نيوزيلندا يمكن أيضًا استشارة الإشعارات الموضعية لمزيد من التوجيه.
أصبحت Cleo التي تتخذ من الولايات المتحدة مقراً لها الأحدث في خط طويل من خدمات نقل الملفات والأدوات التي يجب أن تكون يستهدف كلوب – ربما أبرز هؤلاء كونهم حل وسط أداة نقل برنامج Progress Software في ربيع 2023.
نشأت هجمات Cleo من خلال اثنين من نقاط الضعف والتعرضات المشتركة (CVES) التي تم تتبعها CVE-2024-50623 و CVE-2024-55956 في وئامها ، منتجات فلاتردر و lexicom.
ينشأ أولها من خلال معالجة غير صحيحة لتحميل الملفات في دليل Autorun ، والذي يمكّن المهاجم من تحميل الملفات الضارة إلى خادم وتنفيذها. يتيح الثاني تنفيذ الرمز البعيد (RCE) من خلال Autorun عن طريق تمكين مستخدم غير مصادق على استيراد وتنفيذ أوامر Bash أو PowerShell التعسفية على المضيف باستخدام الإعدادات الافتراضية. كما أنه يتيح للمهاجم نشر خلفيات Java Modular لسرقة البيانات وإجراء الحركة الجانبية.
Dray Agha ، مدير العمليات الأمنية العليا في الصيادالتي كانت في طليعة تتبع حادثة كليو منذ أن ظهرت نقاط الضعف لأول مرة ، قال: “إن خرق بيانات Hertz يؤكد على المخاطر الكبيرة التي يطرحها نقاط الضعف غير المقيدة في يوم صفر في منصات أطراف ثالثة تستخدم على نطاق واسع مثل Cleo. وهذا يسلط الضوء على أهمية الحفاظ على برامج إدارة الضعف القوية ومعالجتها في البرمجيات بسرعة ، وخاصة تلك المستخدمة في نقل البيانات الحساسة.
“يعكس الانتهاك أيضًا اتجاهًا متزايدًا لمجرمي الإنترنت الذين يستهدفون منصات نقل الملفات الآمنة ، والتي تعتبر جزءًا لا يتجزأ من عمليات العديد من المؤسسات. تكتيكات متطورة لمجموعات الفدية تحول التركيز من التشفير إلى سرقة البيانات وتراجعها ، وتزداد الحاجة إلى الاستراتيجيات الشاملة للأمن السيبراني ، بما في ذلك تشفير البيانات الحساسة في الراحة والمراقبة ، وترتفع مراقبة الوصلات الخارجية”.
