Um grupo de hackers conhecido como ShinyHunters divulgou 12,4 milhões de registros supostamente extraídos da CarGurus, uma plataforma popular de compra de automóveis. O vazamento ocorreu em 21 de fevereiro e inclui informações como nomes, números de telefone, endereços de e-mail, endereços físicos e detalhes de pré-qualificação financeira.
Embora a maior parte dos registros já tenha sido exposta em incidentes anteriores, cerca de 3,7 milhões de registros são novos. Isso significa que dados recentes estão agora disponíveis para download por criminosos.
A CarGurus opera nos Estados Unidos, Canadá e Reino Unido, atraindo aproximadamente 40 milhões de visitantes mensais. A plataforma permite que os usuários comparem veículos, contatem vendedores e, em alguns casos, solicitem financiamento.
De acordo com o site Have I Been Pwned, que adicionou o conjunto de dados ao seu banco de dados de vazamentos, as informações expostas incluem endereços de e-mail, endereços IP, nomes completos, números de telefone, endereços físicos, IDs de conta, detalhes de concessionárias, informações de assinatura e dados de aplicação de pré-qualificação financeira.
O Have I Been Pwned relatou que cerca de 70% dos dados já haviam aparecido em vazamentos anteriores, enquanto aproximadamente 3,7 milhões de registros são novos. A CarGurus não confirmou oficialmente o incidente e não respondeu a solicitações de comentários da mídia.
O grupo ShinyHunters é conhecido por vazar dados de empresas quando as negociações de resgate falham. Recentemente, o grupo afirmou ter atacado grandes marcas em setores como telecomunicações, varejo, finanças e tecnologia.
Os hackers costumam obter acesso enganando funcionários, em vez de invadir sistemas. Em casos anteriores, utilizaram chamadas telefônicas ou páginas de login falsas para convencer os funcionários a fornecer credenciais. Uma vez dentro, os atacantes podem acessar silenciosamente sistemas em nuvem que armazenam dados de clientes.
“”Recentemente, experimentamos um incidente de cibersegurança”, disse um porta-voz da CarGurus. “Respondemos prontamente, garantindo o ambiente afetado e atualmente estamos trabalhando com uma empresa de cibersegurança líder para investigar. Com base na investigação até o momento, acreditamos que a atividade foi contida e limitada em escopo. Neste momento, não há indicações de que dados de concessionárias, APIs ou sistemas centrais usados por nossos consumidores ou parceiros concessionários tenham sido comprometidos. Continuamos totalmente operacionais e nossos serviços seguem sem interrupções. Notificaremos quaisquer indivíduos afetados de acordo com as leis aplicáveis.””
Este incidente destaca um problema maior do que apenas uma empresa. Quando plataformas coletam dados financeiros e pessoais detalhados, tornam-se alvos valiosos. Se o conjunto de dados for autêntico, milhões de pessoas que estavam apenas comprando um carro agora enfrentam um risco aumentado de fraudes.