De beruchte cybermisdaadgroep ShinyHunters publiceerde online gegevens waarvan zij beweren dat ze zijn verkregen bij een datalek op de CarGurus-automarkt. De groep zei dat de dataset persoonlijke informatie bevat die naar schatting 12,4 miljoen records bevat. ShinyHunters stelde de bestanden beschikbaar op een openbaar forum voor dreigingsactoren en onderzoekers om te downloaden.
CarGurus betwistte niet dat er sprake was van een inbreuk, maar zei dat het de omvang en impact van het incident beoordeelde. In een verklaring bevestigden vertegenwoordigers van het bedrijf dat zij meldingen van ongeautoriseerde gegevensvrijgave onderzochten en samenwerkten met externe cybersecurity-experts en wetshandhaving om te achterhalen welke informatie mogelijk was benaderd. CarGurus zei dat het nog niet had vastgesteld of de betaalkaartgegevens waren beïnvloed.
De dataset die door ShinyHunters werd gepubliceerd, bevatte tabellen en velden waarvan de groep zei dat ze waren gehaald uit de systemen van CarGurus. Volgens de groep bevatten de records namen, e-mailadressen, gehashte wachtwoorden en andere persoonlijke gegevens. De bestanden werden geplaatst zonder bijbehorende losgeldeisen, en de groep bood de gegevens aan om te downloaden. Onafhankelijke verificatie van de authenticiteit van de gegevens was op het moment van rapportage niet beschikbaar.
CarGurus zei in haar verklaring dat het onmiddellijk stappen ondernam om zijn systemen te beveiligen zodra het probleem was vastgesteld. Het bedrijf zei ook dat het personen op de hoogte stelt van wie de informatie mogelijk betrokken is, en dat het klanten aanmoedigt waakzaam te zijn voor mogelijke phishingpogingen en andere oplichting die kunnen ontstaan door blootgestelde persoonlijke gegevens. CarGurus zei dat het extra monitoring- en beschermingsmaatregelen had ingevoerd als onderdeel van de reactie.
ShinyHunters is in verband gebracht met verschillende andere hoogprofiel data-blootstellingen. Beveiligingsanalisten merkten op dat groepen van dit type vaak datasets breed publiceren of verkopen om maximale invloed of aandacht te genereren, in plaats van direct losgeldonderhandelingen aan te gaan. Analisten zeiden ook dat zelfs wanneer data openbaar wordt gemaakt zonder losgeldeisen, getroffen organisaties te maken hebben met langetermijnreputatie- en operationele uitdagingen bij het aanpakken van mogelijk misbruik van informatie.
CarGurus concurreert in de online automarktplaats met andere diensten die voertuigaanbiedingen hosten en kopers verbinden met verkopers. Het bedrijf zei updates te zullen geven naarmate het onderzoek vorderde en meer details over het incident duidelijk werden. De volledige beoordeling van de betrokken gegevens door CarGurus zou naar verwachting tijd kosten naarmate forensische analyse en beoordeling van interne systemen vorderden.