O notório grupo de crimes cibernéticos ShinyHunters publicou dados online que afirma terem sido obtidos em uma violação envolvendo o mercado automotivo CarGurus. O grupo afirmou que o conjunto de dados inclui informações pessoais vinculadas a cerca de 12,4 milhões de registros. A ShinyHunters disponibilizou os arquivos em um fórum público para que atores ameaçadores e pesquisadores pudessem baixar.
A CarGurus não contestou que houve uma violação, mas afirmou que está avaliando o alcance e o impacto do incidente. Em um comunicado, representantes da empresa confirmaram que estavam investigando relatos de divulgação de dados não autorizadas e trabalhavam com especialistas externos em cibersegurança e autoridades para entender quais informações poderiam ter sido acessadas. A CarGurus disse que ainda não havia determinado se os dados dos cartões de pagamento foram afetados.
O conjunto de dados publicado pela ShinyHunters incluiu tabelas e campos que, segundo o grupo, foram extraídos dos sistemas da CarGurus. Segundo o grupo, os registros contêm nomes, endereços de e-mail, senhas hash e outros dados pessoais. Os arquivos foram publicados sem exigências de resgate associadas, e o grupo ofereceu os dados para qualquer pessoa baixar. A verificação independente da autenticidade dos dados não estava disponível no momento da reportagem.
A CarGurus afirmou em seu comunicado que tomou medidas imediatas para proteger seus sistemas assim que o problema foi identificado. A empresa também afirmou que está notificando indivíduos cujas informações possam estar envolvidas e que incentiva os clientes a ficarem atentos a possíveis tentativas de phishing e outros golpes que possam surgir de dados pessoais expostos. A CarGurus afirmou que implementou monitoramento adicional e medidas de proteção como parte de sua resposta.
O ShinyHunters foi vinculado a várias outras exposições de dados de grande destaque. Analistas de segurança observaram que grupos desse tipo frequentemente publicam ou vendem conjuntos de dados amplamente para maximizar a influência ou atenção, em vez de se envolverem diretamente em negociações de resgate. Analistas também disseram que, mesmo quando os dados são tornados públicos sem exigências de resgate, as organizações afetadas enfrentam desafios reputacionais e operacionais de longo prazo ao lidar com o possível uso indevido das informações.
A CarGurus compete no setor de mercado de carros online com outros serviços que hospedam anúncios de veículos e conectam compradores com vendedores. A empresa disse que fornecerá atualizações à medida que a investigação avançasse e mais detalhes sobre o incidente ficassem claros. Esperava-se que a avaliação completa dos dados envolvidos pela CarGurus levasse tempo à medida que a análise forense e a revisão dos sistemas internos avançavam.