Vụ rò rỉ dữ liệu của CarGurus ảnh hưởng đến 12,5 triệu tài khoản.

Theo báo cáo, thị trường mua bán ôtô trực tuyến CarGurus là nạn nhân của một vụ vi phạm dữ liệu lớn khiến tên, địa chỉ email, số điện thoại và địa chỉ thực tế của hàng triệu khách hàng bị đánh cắp.

Trang thông báo rò rỉ dữ liệu Have I Been Pwned, do chuyên gia bảo mật Troy Hunt điều hành, cho biết 12,5 triệu tài khoản CarGurus bị xâm phạm trong vụ việc này.

CarGurus, được thành lập vào năm 2006, điều hành một nền tảng trực tuyến cho phép khách hàng mua, bán và tài trợ mua xe.

Have I Been Pwned cho rằng nhóm tin tặc ShinyHunters là thủ phạm của vụ vi phạm dữ liệu này. Nhóm này nổi tiếng với các kỹ thuật kỹ thuật xã hội (social engineering) như gọi đến bộ phận hỗ trợ và giả danh nhân viên để yêu cầu đặt lại mật khẩu. Họ đã sử dụng kỹ năng này để đánh cắp một lượng lớn dữ liệu từ nhiều trường đại học, hơn một tỷ hồ sơ khách hàng của Salesforce (bao gồm Google và Workday) và tuyên bố đã tấn công gần đây các nền tảng như Pornhub và công ty fintech Figure.

TechCrunch đã liên hệ với CarGurus để yêu cầu bình luận và sẽ cập nhật bài viết nếu công ty phản hồi.

Theo Have I Been Pwned, dữ liệu khách hàng bị công bố bao gồm bản đồ ID tài khoản, dữ liệu ứng dụng đủ điều kiện trước tài chính và thông tin tài khoản đại lý và đăng ký.

Đây là vụ rò rỉ dữ liệu liên quan đến ôtô thứ hai được Have I Been Pwned báo cáo trong năm nay. Tháng trước, dữ liệu được cho là của CarMax đã được công bố sau một nỗ lực tống tiền thất bại, với dữ liệu bị rò rỉ bao gồm khoảng 431.000 địa chỉ email duy nhất cùng tên, số điện thoại và địa chỉ thực.