Am frühen Morgen des 21. Februar wurde eine Datei von ca. 6.1 GB auf dem dunklen Internet und in öffentlichen Foren ausgeleckt, die laut der Veröffentlichung selbst mehr als 12 Millionen Datensätze enthalten, die mit Benutzern von CarGurus, der amerikanischen digitalen Plattform, um zu suchen, zu vergleichen und Kontakt Anbieter von neuen und neuen Fahrzeugen. Wenn die Zuteilung bestätigt wird, würden wir mit einem der wichtigsten Massenleckstellen konfrontiert, die einen Dienst mit zehn Millionen von monatlichen Besuchen beeinflussen und damit viele sensible Informationen über Käufer, Verkäufer und Händler.
Die Datenbank wurde durch den Monitoring-Service hinzugefügt Have I Been Pwned (HIBP), die ein öffentliches Repository von Vorkommnissen aufrechterhält und ermöglicht es den Menschen, zu überprüfen, ob ihre E-Mails ausgesetzt wurden. HIBP notierte den Vorfall auf seiner CarGurus-Seite und enthält gemäß seiner ersten Beobachtungen von E-Mail-Adressen und Telefonnummern zu physikalischen Adressen, Kontokennzeichen, Daten im Zusammenhang mit Vorqualifikationsanfragen und den Ergebnissen dieser Anfragen und sogar Details zu Konzessionärkonten und Abonnements. Die Registerkarte HIBP ist hier verfügbar: Habe ich geprügelt - CarGurus.
Eine wichtige Klärung: CarGurus hat noch keine öffentliche Erklärung abgegeben, in der ein Eindringen in seine Systeme bestätigt wird und keine Kommentare von verschiedenen Medien erhalten hat. HIBP prüft jedoch in der Regel die Authentizität der Proben, bevor sie einen Datensatz in seinen Index einfügen, der eine gewisse Wahrheit zur Feststellung bringt. Darüber hinaus wurde in einem HIBP-Tweet festgestellt, dass etwa 70% dieser Aufzeichnungen bereits auf früheren Vorfällen basieren, so dass die "neuen" Daten rund 3,7 Millionen Konten betragen würden - ein Detail, das HIBP öffentlich berichtete -: kommuniziert auf X / Twitter von HIBP.
Die Veröffentlichung wurde der Gruppe ShinyHunters zugeschrieben, eine Gruppe, die in den letzten Jahren bemerkenswert geworden ist, um die Autorität von mehreren Lecks und für die Verwendung von Erpressungstaktiken, wenn es nicht bekommen, was es erfordert. Zu den jüngsten Vorkommnissen gehören Lücken in Unternehmen in verschiedenen Branchen, von der Telekommunikations- und Werbetechnik bis hin zu Modemarken, Catering-Services und Musikplattformen. Für Forscher und Sicherheitsbeamte ist klar, dass die Tätigkeit der Gruppe nicht rechtzeitig ist: ShinyHunters hat sich auf die Exfilterung von Daten spezialisiert und, wenn Verhandlungen scheitern, Veröffentlichung von Aufzeichnungen, um das Opfer zu zwingen oder zu bestrafen.
In Bezug auf die Methodik zeigen Analyseberichte über ShinyHunters, dass viele Intrusionen mit Social Engineering beginnen: Anrufe an Mitarbeiter, Sprach-Phishing-Techniken und Links zu Anmeldeseiten, die Zugang zu Unternehmens-SaaS-Diensten ermöglichen. Von dort aus nutzen Angreifer oft den Zugang zu Plattformen wie Salesforce, Okta oder Microsoft 365, um Kundentabellen zu navigieren und zu extrahieren. Sie haben manchmal böswillige OAuth-Anwendungen verwendet, die, sobald von einem unvorhergesehenen Benutzer autorisiert, API-Level-Zugriff auf interne Daten bieten, die eine massive Extraktion ohne die Notwendigkeit, komplexe technische Schwachstellen zu nutzen erleichtert.
Die öffentliche Verfügbarkeit der Akte stellt unmittelbare Risiken für die betroffenen Personen dar. Mit E-Mails, Telefonen, Adressen und teilweisen finanziellen Details können Angreifer hoch personalisierte Phishing-Kampagnen entwerfen, gezielte Betrügereien durchführen, SIM-Swap-Angriffe versuchen, Telefonnummern zu entführen oder schlimmstenfalls Identitätsverdrängungen für Finanzoperationen zu montieren. Gefilterte Informationen erleichtern nicht nur den opportunistischen Betrug, sondern reduzieren auch Barrieren für anspruchsvollere und gezielte Angriffe.
Wenn Sie ein CarGurus Benutzer sind oder denken, Ihre Informationen könnten in der Partie sein, ist es angebracht, mit Vorsicht und Geschwindigkeit zu handeln. Überprüfen Sie zuerst HIBP, wenn Ihre E-Mail auf der Liste ist und beachten Sie jeden Indikator, den Sie finden. Es überprüft dann ungewöhnliche Bewegungen in Ihren Finanzkonten und aktiviert oder stärkt die Authentifizierung von zwei Faktoren in den von Ihnen genutzten Dienstleistungen; soweit möglich, vermeidet es SMS-basierte Methoden und entscheidet für die App-Authentifizierung oder physische Schlüssel. Nicht ignorieren Sie Anrufe oder Nachrichten, die Sie bitten, personenbezogene Daten zu bestätigen oder Sie an unerwartete Links zu adressieren; bevor Sie eine Anweisung folgen, kontaktieren Sie das Unternehmen direkt über offizielle Kanäle. Parallel dazu ist es angebracht, Passwörter zu ändern, wenn Sie Anmeldeinformationen zwischen verschiedenen Diensten teilen und, wenn Sie kommerzielle Daten verwalten oder einen Konzessionär repräsentieren, Ihr Sicherheitsteam informieren, um Zugriff zu prüfen und mögliche Kompromisse zu überprüfen SaaS-Integrationen.
Für Unternehmen ist die Folge eine Erinnerung, dass die Verteidigung durch eine Kombination von Technologie und Training geht. Jenseits von Patches und Zugriffskontrollen, Es ist wichtig, in Sensibilisierung gegen Social Engineering zu investieren, OAuth-Berechtigungen zu überprüfen und anormale Extraktionsmuster in APIs und privilegierten Konten zu überwachen. Dienstleister sollten auch klare Kommunikationsprozesse mit Nutzern und Regulierungsbehörden haben, bei denen ein Verdacht auf Massendatenexposition besteht.
Diese Veranstaltung stellt auch Fragen zur Rechenschaftspflicht und Transparenz: Wenn Plattformen mit hohem Verkehrsaufkommen und personenbezogenen Daten an Lecks beteiligt sind, erwarten Kunden und Regulierungsbehörden detaillierte Erklärungen und konkrete Maßnahmen. Solange CarGurus seine eigene forensische Untersuchung nicht veröffentlicht, wird sich die Cybersicherheitsgemeinschaft weiterhin auf öffentliche Proben und externe Analysen stützen, um das tatsächliche Ausmaß des Schadens zu bewerten.
Letztendlich erinnern Angriffe wie die, die ShinyHunters zugeschrieben haben, daran, dass personenbezogene Daten noch einen Markt haben und dass alle exponierten Informationen zu Betrugsmunition werden können. Die beste Verteidigung ist Vorsicht: überprüfen, aktualisieren, überwachen und nicht annehmen, dass eine E-Mail oder Anruf legitim ist, nur weil es scheint von einem bekannten Unternehmen kommen.
Empfohlene Referenzen und Lesungen: der Rekord von Have I Been Pwned about CarGurus Er ist hier. und der spezialisierte Medienbericht, der das Aussehen der Datei dokumentiert ist auf BleepingComputer ( BleepingComputer - Nachrichten), zusätzlich zum HIBP-Informations Tweet in diesem Link.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Fox Temper präsentiert die Fragilität der digitalen Signatur in der Cloud
Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Z...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...
Von der Warnung bis zur Orchestrierung und IA-Aktion zur Beschleunigung der Reaktion auf Netzvorfälle
IT- und Sicherheitsteams leben eine bekannte Realität: eine ständige Flut von Alarmen von Überwachungsplattformen, Infrastruktursystemen, Identitätsdiensten, Ticketing-Tools und...
Nx Console in check: Wie eine Produktivitätserweiterung zu einem Anmelde-Diebstahl und einer Bedrohung für die Lieferkette wurde
Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,...