Security

Kebocoran Data CarGurus Diduga Bocorkan Informasi 12,4 Juta Akun

3 minutes ago
2 minutes read

Kelompok pemeras siber ShinyHunters mempublikasikan data pribadi yang diklaim berasal dari CarGurus, platform otomotif digital berbasis di Amerika Serikat. Arsip yang dibagikan berisi sekitar 12,4 juta rekaman data pengguna.

CarGurus merupakan perusahaan publik yang beroperasi di Amerika Serikat, Kanada, dan Inggris. Platform ini mencatat sekitar 40 juta pengunjung bulanan dan menyediakan layanan pencarian, perbandingan, serta penghubung pembeli dengan penjual kendaraan baru maupun bekas.

Arsip 6,1GB Berisi Jutaan Data

Pada 21 Februari, ShinyHunters merilis arsip berukuran 6,1GB yang diklaim berisi data CarGurus. Sehari kemudian, platform pemantauan kebocoran data HaveIBeenPwned (HIBP) menambahkan dataset tersebut ke dalam basis datanya setelah melakukan verifikasi validitas.

Jenis data yang dilaporkan terekspos meliputi:

  • Alamat email
  • Alamat IP
  • Nama lengkap
  • Nomor telepon
  • Alamat fisik
  • ID akun pengguna
  • Data pra-kualifikasi pembiayaan
  • Hasil pengajuan pembiayaan
  • Detail akun dealer
  • Informasi langganan

HIBP mencatat bahwa sekitar 70% data dalam arsip tersebut sebelumnya sudah tercatat dalam insiden lain. Artinya, sekitar 3,7 juta rekaman diduga merupakan data baru yang belum pernah terungkap sebelumnya.

Hingga saat ini, CarGurus belum merilis pernyataan resmi mengenai kebocoran data tersebut dan belum memberikan tanggapan atas permintaan klarifikasi media.

Risiko Phishing dan Penipuan

Karena arsip data tersedia untuk diunduh secara bebas, terdapat risiko bahwa informasi tersebut dapat dimanfaatkan pelaku kejahatan siber untuk melancarkan serangan phishing, penipuan berbasis email, atau rekayasa sosial lainnya.

Pengguna CarGurus disarankan untuk meningkatkan kewaspadaan terhadap komunikasi mencurigakan yang memanfaatkan data pribadi, termasuk email atau pesan yang meminta kredensial akun maupun informasi finansial.

Aktivitas ShinyHunters Meningkat

ShinyHunters belakangan ini dikenal aktif mengklaim sejumlah kebocoran data terhadap perusahaan besar. Beberapa korban yang disebut dalam beberapa pekan terakhir termasuk penyedia telekomunikasi Belanda Odido, perusahaan ad tech Optimizely, perusahaan fintech Figure, merek pakaian Canada Goose, jaringan restoran Panera Bread, Match Group, serta platform streaming musik SoundCloud.

Kelompok ini kerap menggunakan teknik rekayasa sosial, terutama voice phishing (vishing), untuk menembus sistem organisasi. Dalam beberapa kampanye sebelumnya, pelaku mengarahkan korban ke halaman phishing yang dirancang untuk mencuri kredensial dan memberikan akses ke platform SaaS seperti Salesforce, Okta, dan Microsoft 365.

Selain itu, dalam beberapa kasus, karyawan juga dilaporkan tertipu untuk menginstal aplikasi OAuth berbahaya yang memberikan akses API tingkat baca terhadap tabel data pelanggan di lingkungan Salesforce.

Insiden yang dikaitkan dengan CarGurus kembali menunjukkan bagaimana kebocoran data skala besar dapat dimanfaatkan sebagai alat tekanan dalam skema pemerasan siber modern.

Tags
3 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button