Le groupe notoire de cybercriminalité ShinyHunters a publié en ligne des données qu’il affirme avoir obtenues lors d’une violation impliquant le marché automobile de CarGurus. Le groupe a indiqué que l’ensemble de données inclut des informations personnelles liées à environ 12,4 millions d’enregistrements. ShinyHunters a mis les fichiers à disposition sur un forum public pour les acteurs malveillants et les chercheurs à télécharger.
CarGurus n’a pas contesté qu’une violation ait eu lieu, mais a indiqué évaluer l’ampleur et l’impact de l’incident. Dans un communiqué, des représentants de l’entreprise ont confirmé qu’ils enquêtaient sur des signalements de divulgation de données non autorisée et travaillaient avec des experts externes en cybersécurité et les forces de l’ordre pour comprendre quelles informations auraient pu être accédées. CarGurus a indiqué qu’elle n’avait pas encore déterminé si les données des cartes de paiement étaient affectées.
Le jeu de données publié par ShinyHunters comprenait des tableaux et des champs que le groupe a qualifiés d’extraits des systèmes de CarGurus. Selon le groupe, les dossiers contiennent des noms, des adresses e-mail, des mots de passe hachés et d’autres informations personnelles. Les fichiers ont été publiés sans demandes de rançon associées, et le groupe a offert les données à tous pour les télécharger. La vérification indépendante de l’authenticité des données n’était pas disponible au moment du rapport.
CarGurus a déclaré dans son communiqué qu’elle avait pris des mesures immédiates pour sécuriser ses systèmes une fois le problème identifié. L’entreprise a également indiqué qu’elle informait les personnes dont les informations pourraient être impliquées, et qu’elle encourage les clients à rester vigilants face à d’éventuelles tentatives de phishing et autres arnaques pouvant découler de données personnelles exposées. CarGurus a indiqué avoir mis en place des mesures supplémentaires de surveillance et de protection dans le cadre de sa réponse.
ShinyHunters a été lié à plusieurs autres expositions de données très médiatisées. Les analystes de la sécurité ont noté que des groupes de ce type publient ou vendent souvent largement des ensembles de données pour maximiser leur levier ou attirer l’attention plutôt que de s’engager directement dans des négociations de rançon. Les analystes ont également indiqué que même lorsque les données sont rendues publiques sans demandes de rançon, les organisations concernées font face à des défis réputationnels et opérationnels à plus long terme lorsqu’elles s’attaquent à un éventuel usage abusif de l’information.
CarGurus concurrence le secteur des places automobiles en ligne avec d’autres services qui hébergent des annonces de véhicules et mettent en relation acheteurs avec vendeurs. L’entreprise a indiqué qu’elle fournirait des mises à jour au fur et à mesure que son enquête se poursuivrait et que davantage de détails sur l’incident deviennent plus clairs. L’évaluation complète des données impliquées par CarGurus devait prendre du temps au fur et à mesure de l’avancement de l’analyse médico-légale et de l’examen des systèmes internes.