ClickRent hauria patit una filtració de dades que afectaria 2,5 milions de clients, amb exposició de documentació d'identitat, informació personal, dades financeres i arxius interns de la companyia. L'incident s'hauria produït aquest passat cap de setmana i l'autoria s'atribueix a l'actor d'amenaces Jenk, que assegura haver obtingut accés complet a la infraestructura de l'empresa.
La intrusió es coneix després que el suposat atacant posés a la venda la base de dades i els arxius sostrets després de, segons sosté, dues setmanes de negociacions fallides. La informació robada superaria els 200 GB, una part especialment sensible pel tipus de documents compromesos i pel volum de clients presumptament afectats.
Documentació d'identitat i dades personals exposats
Entre els arxius sostrets hi figurarien més de 100 GB de documentació d'identitat. En aquest lot hi hauria passaports, DNI, permisos de conduir, documents en PDF i selfies utilitzats en processos de verificació d'identitat.
La bretxa també inclouria noms, adreces físiques, dates de naixement, correus electrònics, números de telèfon i fins i tot contrasenyes. A això s'hi sumarien números de targetes, parcials o complets, a més d'historials de reserves amb detalls sobre vehicles, ubicacions i dates, juntament amb tokens de transacció.
Juntament amb la informació de clients, l'atac també hauria afectat dades corporatives de ClickRent, com ara informació d'empleats, arxius interns de la companyia i documentació financera.
Venda dels arxius després de negociacions fallides
L'actor d'amenaces que s'atribueix l'atac afirma haver aconseguit accés complet a la infraestructura de l'empresa. Després, sempre segons la seva versió, va mantenir un procés de negociació de dues setmanes que va acabar sense acord. Després d'aquest punt, va decidir posar a la venda la base de dades i la resta d'arxius sostrets.
En la seva publicació, el mateix atacant adverteix de la gravetat de l'incident i apunta a una possible intervenció de l'Agència Espanyola de Protecció de Dades. Per ara, l'abast exacte de la bretxa i el nombre definitiu d'afectats queden sota avaluació.
Un nou cop al sector del rènting
La filtració s'emmarca en una cadena recent d'incidents que afecta el sector del lloguer de vehicles. Fa només uns dies va transcendir una altra bretxa a Centauro Rent a Car, on es van veure compromesos 4,3 milions de registres.
En aquell cas van quedar exposats noms complets, adreces de correu electrònic, números de telèfon, dates de naixement, adreces físiques completes, dades de permisos de conduir, números d'identificació fiscal, gènere, idioma preferit i estats de compte i reserves. Aquests episodis se sumen a més a altres que van afectar Hertz i Avis, mentre que a Europcar el suposat incident va acabar considerant-se una falsa filtració.
Una empresa amb presència a tot el país
ClickRent és una empresa espanyola fundada el 2011 i amb seu principal a Palma. Opera en el lloguer de cotxes, furgonetes, motos i altres vehicles, i compta amb més de 30 oficines a aeroports, estacions de tren i ciutats del país.
La possible exposició massiva de documentació identificativa, historials de reserva i dades financeres torna a situar el focus sobre la seguretat de les plataformes del sector. Mentre s'aclareix l'abast real de l'atac, el cas deixa en l'aire la situació de milions d'usuaris les dades dels quals haurien quedat compromeses.