Un actor d'amenaces assegura haver obtingut 4,3 milions de registres d'usuaris de Centauro Rent a Car, l'empresa espanyola de lloguer de vehicles amb presència en diversos països europeus. La suposada filtració s'ha difós a la dark web, on el responsable d'anunciar-la afirma que va extreure la informació la setmana passada i ha publicat una mostra per intentar acreditar l'abast de l'incident.
Entre les dades presumptament compromeses figuren noms complets, adreces de correu electrònic, números de telèfon, dates de naixement, adreces físiques completes, detalls de permisos de conduir, números d'identificació fiscal, gènere, idioma preferit i estats de compte i reserves. L'actor que s'atribueix la intrusió sosté a més que la informació estava emmagatzemada en format JSON.
Una base de dades sensible vinculada a clients de la companyia
Si es confirma l'autenticitat de la filtració, l'abast seria rellevant per la quantitat i el tipus d'informació exposada. La combinació de dades personals, fiscals i vinculades a reserves i permisos de conduir situaria aquest cas entre els incidents de major impacte coneguts en l'àmbit del lloguer de vehicles.
Centauro Rent a Car va ser fundada en la dècada dels 70 a la Comunitat Valenciana i manté activitat internacional a Portugal, Itàlia i Grècia. La companyia opera en un sector especialment sensible pel volum de documentació identificativa que gestionen les empreses de rènting i lloguer vacacional.
"Des d'Escudo Digital ens hem posat en contacte amb la companyia per aclarir el que ha passat i actualitzarem més informació si rebem resposta." - Escudo Digital
Un sector sota pressió per les bretxes de seguretat
El cas s'emmarca en una cadena d'incidents recents que han afectat empreses del mateix àmbit. L'any passat, Hertz va patir una bretxa que va afectar clients a Europa, els Estats Units, Austràlia i el Canadà. En aquell episodi, els atacants van aprofitar vulnerabilitats en un proveïdor extern per accedir a dades com noms, llicències de conduir i números de targetes de pagament. El grup criminal CL0P va ser assenyalat com a responsable.
També Avis va registrar el 2024 un accés no autoritzat a sistemes interns que va comprometre dades de gairebé 300.000 clients. En aquest incident van quedar exposades dades com llicències de conduir i dates de naixement. Després, l'empresa va oferir serveis de monitoratge d'identitat i va anunciar un reforç de les seves mesures de seguretat.
No tots els episodis recents han acabat confirmant-se. En el cas d'Europcar, la suposada filtració de dades de milions d'usuaris va resultar ser falsa i generada mitjançant intel·ligència artificial. Tot i així, el sector continua sota vigilància. La plataforma de mobilitat compartida Zoomcar també ha patit accessos no autoritzats que van comprometre dades de milions d'usuaris.
Ara per ara, no consta una confirmació pública de la companyia sobre l'autenticitat de les dades difoses. Mentre no hi hagi una verificació oficial, el cas es manté sota la cautela habitual en aquest tipus d'anuncis, tot i que la publicació d'una mostra i el volum atribuït a la bretxa tornen a posar el focus en la seguretat de la informació que manegen les empreses de lloguer de vehicles.