Die berüchtigte Cyberkriminalitätsgruppe ShinyHunters veröffentlichte online Daten, von denen sie behauptet, sie seien im Zusammenhang mit einem Sicherheitsvorsprung im CarGurus-Automobilmarkt erhalten worden. Die Gruppe sagte, der Datensatz enthalte persönliche Informationen, die mit schätzungsweise 12,4 Millionen Datensätzen verknüpft sind. ShinyHunters stellte die Dateien in einem öffentlichen Forum für Bedrohungsakteure und Forscher zum Download bereit.
CarGurus bestritt nicht, dass ein Verstoß vorliegt, erklärte jedoch, dass es das Ausmaß und die Auswirkungen des Vorfalls bewertet. In einer Erklärung bestätigten Unternehmensvertreter, dass sie Berichte über eine unautorisierte Datenoffenlegung untersuchen und mit externen Cybersicherheitsexperten sowie Strafverfolgungsbehörden zusammenarbeiten, um herauszufinden, welche Informationen möglicherweise zugänglich gewesen sein könnten. CarGurus erklärte, dass es noch nicht festgestellt habe, ob die Zahlungskartendaten betroffen sind.
Der von ShinyHunters veröffentlichte Datensatz enthielt Tabellen und Felder, die laut Gruppe aus den Systemen von CarGurus extrahiert wurden. Laut der Gruppe enthalten die Datensätze Namen, E-Mail-Adressen, gehashte Passwörter und weitere persönliche Daten. Die Dateien wurden ohne begleitende Lösegeldforderungen veröffentlicht, und die Gruppe bot die Daten jedem zum Download an. Eine unabhängige Überprüfung der Echtheit der Daten war zum Zeitpunkt der Berichterstattung nicht verfügbar.
CarGurus erklärte in seiner Stellungnahme, dass es sofort Maßnahmen ergriffen habe, um seine Systeme zu sichern, sobald das Problem identifiziert wurde. Das Unternehmen erklärte außerdem, dass es Personen benachrichtige, deren Informationen beteiligt sein könnten, und dass es Kunden dazu ermutigt, wachsam gegenüber möglichen Phishing-Versuchen und anderen Betrugsmaschen zu sein, die durch offengelegte personenbezogene Daten entstehen könnten. CarGurus erklärte, es habe im Rahmen seiner Reaktion zusätzliche Überwachungs- und Schutzmaßnahmen ergriffen.
ShinyHunters wurde mit mehreren anderen hochkarätigen Datenexponierungen in Verbindung gebracht. Sicherheitsanalysten stellten fest, dass Gruppen dieser Art oft Datensätze weit verbreitet veröffentlichen oder verkaufen, um Hebel oder Aufmerksamkeit zu maximieren, anstatt direkt Lösegeldverhandlungen zu führen. Analysten sagten außerdem, dass selbst wenn Daten ohne Lösegeldforderungen öffentlich gemacht werden, betroffene Organisationen mit langfristigen Reputations- und operativen Herausforderungen konfrontiert sind, wenn sie potenziellen Missbrauch von Informationen adressieren.
CarGurus konkurriert im Online-Automarktplatz mit anderen Diensten, die Fahrzeugangebote hosten und Käufer mit Verkäufern verbinden. Das Unternehmen kündigte an, Updates zu geben, sobald die Ermittlungen fortschreiten und weitere Details zu dem Vorfall bekannt wurden. Die vollständige Bewertung der beteiligten Daten durch CarGurus sollte voraussichtlich Zeit in Anspruch nehmen, während die forensische Analyse und Überprüfung interner Systeme voranschritten.