Служба уведомлений о компрометациях Have I Been Pwned зафиксировала, что кибернападение на CarGurus раскрыло данные 12,5 млн пользователей: имена, e‑mail, телефоны и физические адреса. Расследование связывает инцидент с группой ShinyHunters, известной применением социальной инженерии для доступа к корпоративным системам.
Что произошло
Группа ShinyHunters позвонила в службу поддержки, выдавая себя за сотрудников, и обошла процедуры восстановления паролей. Она получила информацию о пользовательских аккаунтах, данных предквалификаций по финансированию и подписках дилеров. CarGurus подтвердил утечку, но отметил, что основные API, данные дилеров и внутренние системы остались нетронутыми.
Почему это важно
Утечка показывает, что онлайн‑рынки автомобилей могут хранить уязвимые личные и финансовые данные. Для потребителей это повышенный риск фишинга и мошенничества; для компаний компания должна внедрять многофакторную аутентификацию и обучать персонал защите от социальной инженерии.
Что дальше
CarGurus пообещал уведомить пострадавших в соответствии с законодательством — и усиливает мониторинг безопасности. Аналитики советуют пользователям сменить пароли и быть осторожными при получении запросов от службы поддержки.