Au petit matin du 21 février, un fichier d'environ 6,1 Go a été divulgué sur le web sombre et dans les forums publics, qui, selon la publication elle-même, contenait plus de 12 millions d'enregistrements liés aux utilisateurs de CarGurus, la plate-forme numérique américaine pour rechercher, comparer et contacter les vendeurs de véhicules neufs et neufs. Si l'attribution est confirmée, nous serions confrontés à l'une des plus importantes fuites de masse affectant un service avec des dizaines de millions de visites mensuelles et donc beaucoup d'informations sensibles sur les acheteurs, vendeurs et concessionnaires.
La base de données a été ajoutée par le service de surveillance Have I Been Pwned (HIBP), qui tient un répertoire public des incidents et permet aux gens de vérifier si leurs courriels ont été exposés. HIBP a énuméré l'incident sur sa page CarGurus et, d'après ses observations initiales, l'ensemble comprend des adresses électroniques et des numéros de téléphone aux adresses physiques, des identifiants de compte, des données relatives aux demandes de préqualification et aux résultats de ces demandes, et même des détails des comptes concessionnaires et des abonnements. L'onglet HIBP est disponible ici: Est - ce que j'ai été cousu?.
Une précision importante: CarGurus n'a pas encore publié de déclaration publique confirmant une intrusion dans ses systèmes et n'a pas reçu de demandes de commentaires de divers médias. Cependant, HIBP effectue généralement des contrôles de base sur l'authenticité des échantillons avant d'incorporer un ensemble de données dans son index, ce qui apporte une certaine vérité à la constatation. De plus, dans un tweet du HIBP, il a été noté qu'environ 70 % de ces enregistrements étaient déjà basés sur des incidents antérieurs, de sorte que les « nouvelles » données seraient d'environ 3,7 millions de comptes - un détail que le HIBP a déclaré publiquement - : communiqué sur X / Twitter par HIBP.
La publication a été attribuée au groupe connu sous le nom de ShinyHunters, un groupe qui ces dernières années est devenu célèbre pour réclamer l'autorité de plusieurs fuites et d'utiliser des tactiques d'extorsion quand il n'obtient pas ce qu'il exige. Parmi les incidents récents, mentionnons des lacunes dans les entreprises de divers secteurs, depuis les télécommunications et la publicité jusqu'aux marques de mode, aux services de restauration et aux plateformes musicales. Pour les chercheurs et les responsables de la sécurité, il est clair que l'activité du groupe n'est pas opportune : ShinyHunters s'est spécialisé dans l'exfiltration de données et, lorsque la négociation échoue, publier des documents pour forcer ou punir la victime.
En termes de méthodologie, les rapports d'analyse d'incidents relatifs à ShinyHunters indiquent que de nombreuses intrusions commencent par l'ingénierie sociale : appels aux employés, techniques d'hameçonnage vocal et liens vers des pages de saisie de références qui permettent l'accès aux services SaaS d'entreprise. De là, les attaquants profitent souvent de l'accès à des plateformes telles que Salesforce, Okta ou Microsoft 365 pour naviguer et extraire des tables clients. Ils ont parfois utilisé des applications OAuth malveillantes qui, une fois autorisées par un utilisateur non prévenu, fournissent un accès au niveau de l'API aux données internes, ce qui facilite l'extraction massive sans avoir à exploiter des vulnérabilités techniques complexes.
La disponibilité publique du dossier présente des risques immédiats pour les personnes concernées. Avec des courriels, des téléphones, des adresses et des détails financiers partiels, les agresseurs peuvent concevoir des campagnes d'hameçonnage hautement personnalisées, exécuter des fraudes ciblées, tenter des attaques d'échange SIM pour enlever des numéros de téléphone ou, au pire, monter des suplantations d'identité pour des opérations financières. L'information filtrée non seulement facilite la fraude opportuniste, mais réduit également les obstacles aux attaques plus sophistiquées et ciblées..
Si vous êtes un utilisateur de CarGurus ou pensez que vos informations pourraient être dans le lot, il est approprié d'agir avec prudence et rapidité. Tout d'abord, vérifiez si votre courrier est sur la liste et prenez note de tout indicateur que vous trouvez. Il passe ensuite en revue les mouvements inhabituels dans vos comptes financiers et active ou renforce l'authentification de deux facteurs dans les services que vous utilisez; dans la mesure du possible, il évite les méthodes basées sur SMS et opte pour l'authentification app ou les clés physiques. N'ignorez pas les appels ou les messages qui demandent de confirmer des données personnelles ou de vous adresser à des liens inattendus; avant de suivre toute instruction, contactez l'entité directement via les canaux officiels. En parallèle, il est approprié de changer les mots de passe si vous partagez des identifiants entre différents services et si vous gérez des données commerciales ou représentez un concessionnaire, alertez votre équipe de sécurité pour vérifier l'accès et examiner les intégrations éventuelles compromises de SaaS.
Pour les entreprises, l'épisode est un rappel que la défense passe par une combinaison de technologie et de formation. Au-delà des correctifs et des contrôles d'accès, Il est essentiel d'investir dans la sensibilisation contre l'ingénierie sociale, de revoir les autorisations OAuth et de surveiller les schémas d'extraction anormale dans les API et les comptes privilégiés. Les fournisseurs de services devraient également avoir des processus de communication clairs avec les utilisateurs et les organismes de réglementation lorsqu'il existe des soupçons d'exposition massive aux données.
Cet événement soulève également des questions sur la responsabilité et la transparence: lorsque des plateformes à fort volume de trafic et de données personnelles sont impliquées dans des fuites, les clients et les autorités réglementaires attendent des explications détaillées et des mesures concrètes. Tant que CarGurus ne publiera pas sa propre enquête médico-légale, la communauté de la cybersécurité continuera de s'appuyer sur des échantillons publics et des analyses externes pour évaluer l'étendue réelle des dommages.
En fin de compte, des attaques telles que celle attribuée à ShinyHunters rappellent que les données personnelles ont encore un marché et que toute information exposée peut devenir des munitions de fraude. La meilleure défense est la prudence: vérifier, mettre à jour, surveiller et ne pas supposer qu'un courrier ou un appel est légitime juste parce qu'il semble provenir d'une entreprise connue.
Références et lectures recommandées: le dossier de Have I Been Pwned sur CarGurus Il est là. et le rapport des médias spécialisés qui documentait l'apparence du fichier est disponible sur BleepingComputer ( BleepingComputer - actualités liées), en plus du tweet d'information du HIBP dans ce lien.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Fox Temper expose la fragilité de la signature numérique dans le cloud
La divulgation par Microsoft du fonctionnement de "malware-signing-as-a-service" connu comme Fox Temper remplace au centre la vulnérabilité la plus critique de l'écosystème logi...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
De l'avertissement à l'orchestration et à l'action de l'AI pour accélérer la réponse aux incidents de réseau
Les équipes informatiques et de sécurité vivent une réalité bien connue : un flot constant d'alertes des plateformes de surveillance, des systèmes d'infrastructure, des services...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...