Hertz Delebilen havde åben dør til kunders data i månedsvis
En fejl har gjort det muligt for hackere at stjæle personlige data om kunderne – herunder kørekorts-information – i knap fem måneder hos Hertz’ delebilstjeneste i Danmark.
Delebilen Hertz handler om at give nem adgang til en bil. Men tjenesten, der hører under Hertz i Danmark, har også givet adgang til kundernes data for hackere.
Det skriver selskabet selv i en mail til kunderne, der er sendt ud mandag eftermiddag.
»Den 18. april blev vi gjort bekendt med, uautoriserede personer kunne få adgang til et antal kunders personlige data. De tilgængelige data var kørekort, studiekort og andre fotos uploadet ved tilmelding,« skriver Delebilen Hertz til kunderne.
Fejlen opstod efter en opdatering af it-systemerne den 28. november 2017, og døren har dermed stået åben i knap fem måneder for hackere, som måtte være på udkig efter svagheder i it-systemerne.
Da fejlen blev opdaget, blev den rettet på 40 minutter, skriver Hertz.
Det er dog kun medlemmer af tjenesten, som har kunnet få adgang til andres kørekortsoplysninger, vurderer Hertz Delebilen.
»Det er kørekort for cirka halvdelen af medlemmerne, andre medlemmer kunne få adgang til ved at ændre et tal i URL-adressen i browseren. Der var ikke adgang til det for andre, hvis de ikke var logget ind. Men vi har det bedst med at melde det ud, hvis bare der har været den mindste risiko, siger Kenneth Sørensen Tillisch, driftsdirektør for Hertz i Danmark.
Han understreger også, at beskeden kun handler om delebilstjenesten, ikke om den traditionelle biludlejning hos Hertz.
»Det er to helt forskellige it-systemer, der er så langt fra hinanden, som de kan være, for Hertz Delebilen hænger sammen med andre tilsvarende tjenester i Norden og har en helt anden it-leverandør,« forklarer han.
Når man opretter sig som ny bruger af delebilstjenesten, skal man dokumentere, at man har kørekort, ved at sende et billede af det ind, samt evt. studiekort, hvis man skal have studierabat.
Hullet i it-systemerne gav ikke adgang til kundernes betalingsdata, oplyser Hertz.
»Uautoriseret adgang til personlige data er naturligvis altid alvorligt og kan gøre skade, men sammen med f.eks. finansielle data ville de kunne anvendes til identitetstyveri. Vi vil derfor gøre det helt klart, at ingen kunders finansielle data har kunnet nås,« skriver selskabet til sine kunder.
Beskeden bliver afsluttet med en opfordring til at være på vagt og holde øje med eventuelt misbrug.
»Selvom vores vurdering er, at risikoen for uautoriseret adgang har været meget lille, kan vi ikke være absou tsikre på, at ingen har fået adgang til de uploadede kørekortsdata. Vi vil derfor bede dig være ekstra opmærksom på evt. misbrug af dine data,« skriver selskabet.
