افشای اطلاعات 12.4 میلیون کاربر CarGurus در حمله سایبری گروه ShinyHunters

گروه ShinyHunters اطلاعات بیش از ۱۲.۴ میلیون حساب کاربری CarGurus را منتشر کرد و داده‌های شخصی کاربران این پلتفرم آمریکایی خرید و تحقیق خودرو را افشا نمود.

CarGurus یک بازار دیجیتال خودرویی مستقر در ایالات متحده است که به کاربران کمک می‌کند خودروهای نو و کارکرده را بررسی، مقایسه و با فروشندگان ارتباط برقرار کنند. این پلتفرم در آمریکا، کانادا و بریتانیا فعالیت دارد، آگهی‌ها را تحلیل می‌کند تا پیشنهادهای مناسب را شناسایی کند و ابزارهایی برای قیمت‌گذاری، بررسی نمایندگی‌ها و تاریخچه خودرو ارائه می‌دهد. این وب‌سایت ماهانه حدود ۴۰ میلیون بازدیدکننده دارد و به‌عنوان یک شرکت بورسی، یکی از بازیگران اصلی بازار آنلاین خودرو محسوب می‌شود.

در فوریه ۲۰۲۶، CarGurus دچار یک نشت اطلاعات شد که پس از شکست تلاش برای اخاذی رخ داد. این رخداد منجر به افشای داده‌های حساسی از جمله ایمیل‌ها، شناسه‌های حساب، درخواست‌های تأمین مالی خودرو، اطلاعات نمایندگی‌ها، نام‌ها، شماره تلفن‌ها، آدرس‌ها، IPها و نتایج درخواست‌های وام خودرو شد.

در ۲۱ فوریه، گروه ShinyHunters یک آرشیو فشرده ۶.۱ گیگابایتی حاوی بیش از ۱۲.۴ میلیون رکورد را منتشر کرد.

سرویس پایش نشت داده HaveIBeenPwned (HIBP) نیز CarGurus را به پایگاه داده خود اضافه کرده است.

داده‌های افشاشده شامل موارد زیر هستند:
Email addresses
Names
Physical addresses
IP addresses
Phone numbers

این نشت اطلاعات چندین ریسک جدی برای کاربران ایجاد می‌کند. با افشای اطلاعات شخصی مانند نام، ایمیل، شماره تلفن و شناسه حساب، احتمال حملات phishing و مهندسی اجتماعی به‌طور قابل‌توجهی افزایش می‌یابد، زیرا مهاجمان می‌توانند پیام‌هایی کاملاً متقاعدکننده با استفاده از داده‌های واقعی ارسال کنند. افشای جزئیات درخواست‌های مالی و سوابق مرتبط نیز زمینه را برای سرقت هویت و کلاهبرداری مالی فراهم می‌کند.

همچنین اطلاعات حساب‌های کاربری در معرض خطر Account Takeover قرار دارند، به‌ویژه اگر کاربران از رمز عبور تکراری در چند پلتفرم استفاده کرده باشند. انتشار آدرس‌های فیزیکی و IP نیز نگرانی‌های حریم خصوصی ایجاد می‌کند و می‌تواند به بازاریابی هدفمند، مزاحمت یا حتی فعالیت‌های مخرب دیگر منجر شود.

در ماه‌های اخیر، گروه ShinyHunters چندین شرکت بزرگ را هدف قرار داده و در صورت عدم پرداخت باج، داده‌ها را منتشر کرده است. از جمله قربانیان اخیر این گروه می‌توان به Odido، Figure، Canada Goose و SoundCloud اشاره کرد. این گروه عمدتاً از مهندسی اجتماعی، به‌ویژه voice phishing، برای سرقت اعتبارنامه‌ها و دسترسی به پلتفرم‌های SaaS مانند Salesforce، Okta و Microsoft 365 استفاده می‌کند.