Если вы когда-либо искали автомобиль на платформе CarGurus, существует риск, что ваши личные данные оказались в свободном доступе в интернете. Группа хакеров ShinyHunters опубликовала якобы 12,4 миллиона записей, взятых с этого популярного сервиса автотематики, используемого миллионами пользователей по всему миру. В числе утечек — имена, номера телефонов, электронные адреса, физические адреса и сведения о предварительной финансовой квалификации. Хотя большая часть данных уже ранее была скомпрометирована, около 3,7 миллиона новых записей добавлены в базу, что делает их доступными для преступников.
## Детали события / Суть утечки данных
Группа ShinyHunters 21 февраля разместила файл объемом 6,1 ГБ, в котором, по их утверждению, содержится информация о пользователях CarGurus. В этом файле — 12,4 миллиона записей, связанных с пользователями платформы, которая работает в США, Канаде и Великобритании. Сайт привлекает примерно 40 миллионов посещений в месяц и предоставляет возможности сравнения автомобилей, связи с продавцами и подачи заявок на финансирование.
По данным сервиса Have I Been Pwned, который добавил эти данные в свою базу утечек, опубликованный набор содержит адреса электронной почты, IP-адреса, полные имена, номера телефонов, физические адреса, идентификаторы аккаунтов, данные дилеров, информацию о подписках и заявку на финансирование. При этом около 70% данных уже ранее появлялись в других утечках, а примерно 3,7 миллиона — новые. Компания CarGurus официальных комментариев по данному инциденту пока не предоставила.
## Позиции сторон / Реакция и заявления
Представитель CarGurus заявил: «Недавно мы столкнулись с киберинцидентом. Мы оперативно приняли меры по обеспечению безопасности и сотрудничаем с ведущей кибербезопасной фирмой для расследования ситуации. На сегодняшний день, по нашим данным, угроза локализована, и основные системы остаются в безопасности. В настоящее время у нас нет признаков компрометации данных дилеров или основных платформ.» В то же время, группа ShinyHunters регулярно публикует утечки данных, полученные через социальную инженерии и фишинг, что подтверждает их склонность к использованию методов обмана для взлома систем.
## Контекст и возможные последствия
Если опубликованные данные действительно являются легитимными, это может привести к росту мошенничества, кражи личных данных и злоупотреблений в финансовой сфере. Особенно опасны сведения о предварительной кредитной квалификации, которые могут использоваться для мошеннических схем, фишинга и фальшивых предложений по займам. Открытая возможность скачивания данных делает преступникам задачу проще — достаточно минимальных навыков для начала эксплуатации информации.
Эксперты советуют пользователям проверить свои электронные адреса на сайте Have I Been Pwned, усилить безопасность аккаунтов с помощью двухфакторной аутентификации и использовать менеджеры паролей. Также рекомендуется внимательно следить за кредитной историей и избегать перехода по подозрительным ссылкам в письмах или сообщениях, связанных с финансами или автосервисами.
Данный инцидент подчеркивает важность прозрачности компаний, собирающих чувствительные данные, и необходимость строгого соблюдения правил защиты информации. В случае подтверждения утечки, пострадавшие пользователи могут столкнуться с повышенным риском мошенничества и кражи личности.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты