Le marché automobile CarGurus a été la cible d’une violation de données au cours de laquelle les noms, adresses e-mail, numéros de téléphone et adresses physiques de millions de clients ont été volés.
Have I Been Pwned, un site de notification de violation de données fourni par le chercheur en sécurité Troy Hunt, a signalé que 12,5 millions de comptes CarGurus avaient été compromis lors de la violation de données.
CarGurus, fondée en 2006, exploite un marché en ligne qui permet aux clients d’acheter, de vendre et de financer leurs achats de véhicules.
Have I Been Pwned a attribué la violation au groupe de piratage ShinyHunters.
Le groupe ShinyHunters est connu pour ses compétences en ingénierie sociale, comme appeler les services d’assistance et se faire passer pour des employés ayant besoin de réinitialiser leur mot de passe. Les pirates ont utilisé leurs compétences en ingénierie sociale pour voler des flux de données de plusieurs universités et plus d’un milliard d’enregistrements de clients Salesforce, dont Google et Workday, et ils ont revendiqué des piratages récents chez Pornhub et le géant des prêts fintech Figure.
TechCrunch a contacté CarGurus pour commentaires et mettra à jour cet article si l’entreprise répond.
Les données client publiées comprenaient des mappages d’ID de compte utilisateur, des données de demande de préqualification financière et des informations sur le compte du concessionnaire et l’abonnement, selon Have I Been Pwned.
Il s’agit de la deuxième violation de données liée à l’automobile signalée par Have I Been Pwned cette année. Le mois dernier, des données prétendument provenant de CarMax ont été publiées à la suite d’une tentative d’extorsion infructueuse, a rapporté le site de notification de violation de données. La violation de données concernait environ 431 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses physiques.
