自動車マーケットプレイスを運営するCarGurusは、サイバー攻撃を受け、顧客の名前、メールアドレス、電話番号、住所などが流出したと発表しました。
セキュリティ研究者のトロイ・ハント氏が提供するデータ流出通知サイト「Have I Been Pwned」によれば、1250万件のCarGurusのアカウントがこの攻撃で影響を受けたということです。
2006年に設立されたCarGurusは、オンラインマーケットプレイスを通じて、顧客が車両を購入、販売、金融取引を行えるサービスを提供しています。
「Have I Been Pwned」は、この攻撃がハッカー集団「ShinyHunters」によるものとしています。このグループは、従業員を装ってパスワードリセットを求めるなどのソーシャルエンジニアリング技術に長けており、複数の大学からのデータや、GoogleやWorkdayを含むSalesforceの顧客から10億件以上の記録を盗んだとされています。最近では、Pornhubやフィンテック企業Figureへの攻撃も主張しています。
TechCrunchはCarGurusにコメントを求めており、回答があれば記事を更新する方針です。
「Have I Been Pwned」によれば、公開された顧客データには、ユーザーアカウントIDのマッピング、金融事前審査申請データ、ディーラーアカウントおよびサブスクリプション情報が含まれているということです。
今年、Have I Been Pwnedが報告した自動車関連のデータ流出はこれが2件目です。先月、CarMaxのデータが恐喝未遂の後に公開されたとされ、43万1000件のユニークなメールアドレスと名前、電話番号、住所が含まれていたと報告されています。