El notorio grupo de ciberdelincuencia ShinyHunters publicó en línea datos que afirma que se obtuvieron en una brecha relacionada con el mercado automovilístico de CarGurus. El grupo indicó que el conjunto de datos incluye información personal vinculada a unos 12,4 millones de registros. ShinyHunters puso los archivos a disposición de un foro público para que actores amenazantes e investigadores los descargaran.
CarGurus no negó que se hubiera producido una brecha, pero afirmó que estaba evaluando el alcance y el impacto del incidente. En un comunicado, representantes de la empresa confirmaron que estaban investigando informes de una divulgación de datos no autorizada y que trabajaban con expertos externos en ciberseguridad y fuerzas del orden para entender qué información podría haber sido accedida. CarGurus dijo que aún no había determinado si los datos de las tarjetas de pago se veían afectados.
El conjunto de datos publicado por ShinyHunters incluía tablas y campos que el grupo dijo fueron extraídos de los sistemas de CarGurus. Según el grupo, los registros contienen nombres, direcciones de correo electrónico, contraseñas hasheadas y otros datos personales. Los archivos se publicaron sin exigir rescates acompañantes, y el grupo ofreció los datos para que cualquiera los descargara. No existía una verificación independiente de la autenticidad de los datos en el momento de la notificación.
CarGurus dijo en su comunicado que tomó medidas inmediatas para asegurar sus sistemas una vez identificado el problema. La empresa también afirmó que estaba notificando a las personas cuya información podría estar implicada y que anima a los clientes a estar atentos ante posibles intentos de phishing y otras estafas que puedan surgir de datos personales expuestos. CarGurus afirmó que había implementado medidas adicionales de monitorización y protección como parte de su respuesta.
ShinyHunters ha sido vinculado a varias otras exposiciones de datos de alto perfil. Los analistas de seguridad señalaron que grupos de este tipo suelen publicar o vender conjuntos de datos ampliamente para maximizar el apalancamiento o la atención, en lugar de participar directamente en negociaciones de rescate. Los analistas también señalaron que, incluso cuando los datos se hacen públicos sin exigir rescates, las organizaciones afectadas se enfrentan a desafíos reputacionales y operativos a largo plazo al abordar el posible mal uso de la información.
CarGurus compite en el sector del mercado de coches online con otros servicios que alojan anuncios de vehículos y conectan compradores con vendedores. La empresa dijo que proporcionaría actualizaciones a medida que avanzara la investigación y se aclararan más detalles sobre el incidente. Se esperaba que la evaluación completa de los datos implicados por parte de CarGurus llevara tiempo a medida que avanzaban los análisis forenses y la revisión de los sistemas internos.