Il famigerato gruppo di crimini informatici ShinyHunters ha pubblicato online dati che sostiene siano stati ottenuti in seguito a una violazione che coinvolge il mercato automobilistico CarGurus. Il gruppo ha dichiarato che il dataset include informazioni personali legate a circa 12,4 milioni di registrazioni. ShinyHunters ha reso disponibili i file su un forum pubblico per attori minacciosi e ricercatori da scaricare.
CarGurus non ha contestato che si sia verificata una violazione, ma ha dichiarato di valutare l’entità e l’impatto dell’incidente. In una dichiarazione, i rappresentanti dell’azienda hanno confermato di essere state indagando su segnalazioni di una divulgazione non autorizzata di dati e di collaborare con esperti esterni di cybersecurity e forze dell’ordine per capire quali informazioni potrebbero essere state accedenti. CarGurus ha detto di non aver ancora determinato se i dati delle carte di pagamento siano stati influenzati.
Il dataset pubblicato da ShinyHunters includeva tabelle e campi che il gruppo ha detto essere stati estratti dai sistemi di CarGurus. Secondo il gruppo, i registri contengono nomi, indirizzi email, password hashate e altri dettagli personali. I file furono pubblicati senza richieste di riscatto e il gruppo offrì i dati a chiunque potesse scaricarli. Al momento della segnalazione non era disponibile una verifica indipendente dell’autenticità dei dati.
CarGurus ha dichiarato nel suo comunicato di aver preso misure immediate per mettere in sicurezza i propri sistemi una volta identificato il problema. L’azienda ha anche dichiarato di notificare le persone le cui informazioni potrebbero essere coinvolte e che incoraggia i clienti a restare vigili contro potenziali tentativi di phishing e altre truffe che potrebbero derivare da dati personali esposti. CarGurus ha dichiarato di aver implementato ulteriori misure di monitoraggio e protezione come parte della sua risposta.
ShinyHunters è stato collegato a diverse altre esposizioni di dati di alto profilo. Gli analisti di sicurezza hanno osservato che gruppi di questo tipo spesso pubblicano o vendono ampiamente dataset per massimizzare la leva o l’attenzione piuttosto che impegnarsi direttamente in negoziati di riscatto. Gli analisti hanno anche affermato che anche quando i dati vengono resi pubblici senza richieste di riscatto, le organizzazioni interessate affrontano sfide reputazionali e operative a lungo termine nell’affrontare un possibile uso improprio delle informazioni.
CarGurus compete nel settore del marketplace auto online con altri servizi che ospitano annunci di veicoli e mettono in contatto acquirenti con venditori. L’azienda ha dichiarato che fornirà aggiornamenti man mano che l’indagine proseguiva e diventavano più dettagli sull’incidente. La valutazione completa dei dati coinvolti da parte di CarGurus era prevista richiedere tempo man mano che progredivano l’analisi forense e la revisione dei sistemi interni.