Ünlü siber suç grubu ShinyHunters, CarGurus otomotiv pazarını içeren bir ihlal sonucu elde edildiğini iddia ettiği verileri çevrimiçi yayınladı. Grup, veri setinin tahmini 12,4 milyon kayda bağlı kişisel bilgileri içerdiğini belirtti. ShinyHunters, dosyaları tehdit aktörleri ve araştırmacıların indirebileceği kamuya açık bir forumda sundu.
CarGurus, bir ihlal olduğunu itiraz etmedi ancak olayın kapsamını ve etkisini değerlendirdiğini belirtti. Şirket temsilcileri, yetkisiz veri ifşasıyla ilgili raporları araştırdıklarını ve hangi bilgilere erişilmiş olabileceğini anlamak için dış siber güvenlik uzmanları ve kolluk kuvvetleriyle birlikte çalıştıklarını bir açıklamada doğruladı. CarGurus, ödeme kartı verilerinin etkilenip etkilenmediğini henüz belirlemediğini belirtti.
ShinyHunters tarafından yayımlanan veri seti, grubun CarGurus sistemlerinden çıkarıldığını söylediği tablolar ve alanlar içeriyordu. Gruba göre, kayıtlar isimler, e-posta adresleri, hash şifreler ve diğer kişisel bilgileri içeriyor. Dosyalar fidye talebi olmadan yayınlandı ve grup verileri herkesin indirebileceği şekilde sundu. Raporlama sırasında verilerin gerçekliğinin bağımsız doğrulanması mümkün değildi.
CarGurus açıklamasında, sorun tespit edildikten sonra sistemlerini güvence altına almak için derhal adımlar attığını belirtti. Şirket ayrıca, bilgileri ilgili olabilecek bireyleri bilgilendirdiğini ve müşterileri, açığa çıkan kişisel verilerden kaynaklanabilecek olası oltalama girişimleri ve diğer dolandırıcılıklara karşı dikkatli olmaya teşvik ettiğini belirtti. CarGurus, yanıt kapsamında ek izleme ve koruyucu önlemler aldığını belirtti.
ShinyHunters, birkaç başka yüksek profilli veri açığıyla da ilişkilendirildi. Güvenlik analistleri, bu tür grupların doğrudan fidye müzakerelerine girmek yerine en üst düzeyde güç veya ilgi sağlamak için veri setlerini yaygın şekilde yayımladığını veya sattığını belirtti. Analistler ayrıca, veriler fidye talebi olmadan kamuya açıklansa bile, etkilenen kuruluşların bilginin olası kötüye kullanımıyla ilgili uzun vadeli itibar ve operasyonel zorluklarla karşılaştığını belirtti.
CarGurus, çevrimiçi otomobil pazarı sektöründe, araç listeleri barındıran ve alıcıları satıcılarla bağlayan diğer hizmetlerle rekabet etmektedir. Şirket, soruşturması devam ettikçe ve olayla ilgili daha fazla detay netleştikçe güncellemeler sunacağını söyledi. CarGurus’un ilgili verilerin tam değerlendirmesinin, adli analizler ve dahili sistemlerin incelenmesi ilerledikçe zaman alması bekleniyordu.