Групата за изнудване ShinyHunters е публикувала над 12 милиона записа с лична информация, за които твърди, че са откраднати от CarGurus – базирана в САЩ дигитална платформа за автомобилни обяви и проучвания.

CarGurus е публична компания, оперираща в САЩ, Канада и Обединеното кралство, с приблизително 40 милиона месечни посетители. Платформата подпомага потребителите при търсене, сравняване и контакт с търговци на нови и употребявани автомобили.

Какво съдържа изтеклата информация

На 21 февруари ShinyHunters публикува архив от 6,1 GB, съдържащ 12,4 милиона записа, за които се твърди, че произхождат от CarGurus. Ден по-късно платформата за мониторинг на течове на данни Have I Been Pwned добави набора от данни в своята база, след като е извършила проверка за автентичност.

Компрометираните типове данни включват:

• Имейл адреси

• IP адреси

• Пълни имена

• Телефонни номера

• Физически адреси

• Потребителски идентификатори

• Данни от финансови заявки за предварително одобрение

• Резултати от финансови кандидатури

• Детайли за дилърски акаунти

• Абонаментна информация

Колко от данните са нови и защо това е проблем

Според Have I Been Pwned около 70% от записите вече са присъствали в базата данни от предишни инциденти. Това означава, че приблизително 3,7 милиона записа са нови и не са били публично известни досега.

Тъй като архивът е свободно достъпен за изтегляне, съществува сериозен риск данните да бъдат използвани за фишинг кампании, измами и социално инженерство, насочени както към крайни потребители, така и към дилъри и бизнес партньори.

CarGurus не е публикувала официално уведомление.

Активна кампания на ShinyHunters срещу големи организации

ShinyHunters е изключително активна през последните месеци и публично заявява множество атаки срещу големи компании. Сред последните обявени жертви са:

• Odido

• Optimizely

• Figure

• Canada Goose

• Panera Bread

• Match Group

• SoundCloud

Използвани техники за компрометиране

Групата разчита основно на социално инженерство, като най-често използва гласов фишинг (vishing). Жертвите биват насочвани към страници за кражба на идентификационни данни, които осигуряват достъп до SaaS платформи като Salesforce, Okta и Microsoft 365.

В предишни кампании ShinyHunters е подмамвала служители да инсталират злонамерени OAuth приложения, които осигуряват API-достъп за четене до клиентски бази данни в Salesforce среди. Това позволява мащабно извличане на чувствителна информация без използване на класически зловреден код.

Какво трябва да направят потребителите

Потребителите на CarGurus се съветват да бъдат изключително внимателни към:

• неочаквани имейли и телефонни обаждания;

• съобщения, свързани с финансиране или оферти за автомобили;

• линкове и прикачени файлове, изискващи вход или потвърждение на данни.