Онлайн-маркетплейс CarGurus став жертвою значної атаки на інформаційні системи, внаслідок якої були викрадені персональні дані мільйонів клієнтів. Відомий ресурс з повідомлень про витоки даних, Have I Been Pwned, зафіксував, що в результаті хакерської атаки було скомпрометовано 12,5 мільйонів акаунтів на платформі.
CarGurus, заснований у 2006 році, полегшує процес покупки, продажу і фінансування автомобілів через свій онлайн-сервіс. В нападі на дані компанії журналісти та експерти звинуватили хакерську групу ShinyHunters, яка славиться своїми навичками соціального інженерії, здійснюючи шахрайські дзвінки до технічних відділів та видаючи себе за співробітників.
ShinyHunters відзначилася в ряді масштабних витоків, серед яких дані з університетів та понад мільярд записів клієнтів Salesforce, включно з компаніями, як Google та Workday. Нещодавно вони також були причетними до атак на Pornhub та фінансовий сервіс Figure.
Представниця CarGurus, Маггі Мелузіо, підтвердила, що компанія зазнала інциденту з кібербезпеки, але зазначила, що ситуація під контролем. «Немає свідчень того, що дані наших партнерів-дилерів, API чи основні системи, які використовують наші клієнти, були під загрозою. Ми продовжуємо працювати, як звичайно, і повідомимо всіх постраждалих у відповідності до чинного законодавства», – повідомила вона.
За даними Have I Been Pwned, опубліковані дані включали інформацію про ідентифікаційні номери акаунтів, дані щодо попередньої кваліфікації для фінансування, а також відомості про акаунти та підписки дилерів.
Це вже другий інцидент з витоком даних у автомобільній сфері, про який повідомив Have I Been Pwned цього року. Раніше, у минулому місяці, стався витік даних з CarMax, в якому фігурувало близько 431,000 унікальних електронних адрес, а також особистої інформації клієнтів.
На фоні цих подій важливо усвідомити ризики, які супроводжують користування онлайн-сервісами, а також необхідність відновлення довіри до компаній, що працюють у цій сфері.
