O grupo de extorsão ShinyHunters publicou recentemente informações pessoais referentes a mais de 12 milhões de registos que terão sido roubados da CarGurus, uma conhecida plataforma digital do setor automóvel com sede nos Estados Unidos.
Milhões de dados pessoais na internet
A CarGurus, que opera nos mercados dos Estados Unidos, Canadá e Reino Unido, recebe cerca de 40 milhões de visitantes mensais que procuram pesquisar, comprar e vender veículos. No dia 21 de fevereiro, os piratas informáticos divulgaram um ficheiro de 6.1 GB contendo a base de dados, afirmando que a mesma pertence à empresa.
Pouco tempo depois, a plataforma de monitorização de fugas de informação adicionou o conjunto de dados aos seus sistemas. A lista de informações comprometidas é extensa e bastante sensível, incluindo endereços de e-mail, nomes completos, números de telefone, endereços físicos, endereços de IP, identificações de utilizadores, dados de pré-qualificação de financiamento, resultados dessas mesmas aplicações financeiras, informações de subscrições e detalhes de contas de concessionários.
De acordo com a análise feita aos dados, cerca de 70% da informação já circulava na internet devido a incidentes anteriores, o que significa que aproximadamente 3,7 milhões de registos são completamente novos e frescos. Até ao momento, a CarGurus ainda não emitiu qualquer comunicado oficial a revelar a falha de segurança. Toda esta situação e análise dos dados expostos foi também detalhada pelo HaveIBeenPwned.
O modus operandi do grupo ShinyHunters
Como as informações estão disponíveis de forma gratuita para transferência, existe um risco elevado de outros cibercriminosos tirarem partido dos dados para lançar campanhas de phishing e burlas direcionadas. É recomendado que todos os utilizadores da plataforma redobrem a atenção a comunicações suspeitas ou pedidos de dados invulgares.
O grupo ShinyHunters tem mantido um ritmo bastante elevado de ataques contra grandes organizações, recorrendo frequentemente à fuga de informações quando as negociações de resgate falham e chegam a um beco sem saída. Entre as vítimas mais recentes deste grupo encontram-se nomes de peso, incluindo a operadora de telecomunicações Odido, a empresa de tecnologia publicitária Optimizely, a Figure, a Canada Goose, a Panera Bread, o Match Group e o SoundCloud.
As táticas utilizadas por estes piratas informáticos passam sobretudo por métodos de engenharia social, especialmente o phishing de voz. O objetivo passa por enganar os funcionários das organizações para os direcionar a páginas falsas, onde recolhem as credenciais de acesso. Desta forma, conseguem entrar em plataformas de software corporativo como o Salesforce, Okta e Microsoft 365. Em campanhas anteriores, o grupo chegou mesmo a enganar trabalhadores para instalarem aplicações OAuth maliciosas que garantiam acesso direto de leitura às tabelas de dados de clientes.
Nenhum comentário
Seja o primeiro!