ClickRent habría sufrido una filtración de datos que afectaría a 2,5 millones de clientes, con exposición de documentación de identidad, información personal, datos financieros y archivos internos de la compañía. El incidente se habría producido este pasado fin de semana y la autoría se atribuye al actor de amenazas Jenk, que asegura haber obtenido acceso completo a la infraestructura de la empresa.
La intrusión se conoce después de que el supuesto atacante pusiera a la venta la base de datos y los archivos sustraídos tras, según sostiene, dos semanas de negociaciones fallidas. La información robada superaría los 200 GB, una parte especialmente sensible por el tipo de documentos comprometidos y por el volumen de clientes presuntamente afectados.
Documentación de identidad y datos personales expuestos
Entre los archivos sustraídos figurarían más de 100 GB de documentación de identidad. En ese lote habría pasaportes, DNIs, permisos de conducir, documentos en PDF y selfies utilizados en procesos de verificación de identidad.
La brecha también incluiría nombres, direcciones físicas, fechas de nacimiento, correos electrónicos, números de teléfono e incluso contraseñas. A ello se sumarían números de tarjetas, parciales o completos, además de historiales de reservas con detalles sobre vehículos, ubicaciones y fechas, junto con tokens de transacción.
Junto a la información de clientes, el ataque también habría alcanzado datos corporativos de ClickRent, como información de empleados, archivos internos de la compañía y documentación financiera.
Venta de los archivos tras negociaciones fallidas
El actor de amenazas que se atribuye el ataque afirma haber logrado acceso completo a la infraestructura de la empresa. Después, siempre según su versión, mantuvo un proceso de negociación de dos semanas que terminó sin acuerdo. Tras ese punto, decidió poner a la venta la base de datos y el resto de archivos sustraídos.
En su publicación, el propio atacante advierte de la gravedad del incidente y apunta a una posible intervención de la Agencia Española de Protección de Datos. Por ahora, el alcance exacto de la brecha y el número definitivo de afectados quedan bajo evaluación.
Un nuevo golpe al sector del renting
La filtración se enmarca en una cadena reciente de incidentes que afecta al sector del alquiler de vehículos. Hace solo unos días trascendió otra brecha en Centauro Rent a Car, donde se vieron comprometidos 4,3 millones de registros.
En aquel caso quedaron expuestos nombres completos, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, direcciones físicas completas, datos de permisos de conducir, números de identificación fiscal, género, idioma preferido y estados de cuenta y reservas. Estos episodios se suman además a otros que afectaron a Hertz y Avis, mientras que en Europcar el supuesto incidente terminó considerándose una falsa filtración.
Una empresa con presencia en todo el país
ClickRent es una empresa española fundada en 2011 y con sede principal en Palma de Mallorca. Opera en el alquiler de coches, furgonetas, motos y otros vehículos, y cuenta con más de 30 oficinas en aeropuertos, estaciones de tren y ciudades del país.
La posible exposición masiva de documentación identificativa, historiales de reserva y datos financieros vuelve a situar el foco sobre la seguridad de las plataformas del sector. Mientras se aclara el alcance real del ataque, el caso deja en el aire la situación de millones de usuarios cuyos datos habrían quedado comprometidos.