文章总结： 美国汽车平台CarGurus遭ShinyHunters勒索组织攻击，导致1240万条包含邮箱、IP、姓名及财务数据等敏感信息泄露。尽管CarGurus未回应，但HIBP平台已验证数据真实性，其中约370万条为新记录。攻击者常利用社会工程学及恶意OAuth应用入侵SaaS平台。用户需警惕利用泄露信息进行的钓鱼诈骗，建议关注账户安全动态。 综合评分： 79 文章分类： 数据泄露,威胁情报,安全大事件

美国数字汽车平 CarGurus 数据泄露事件导致1240万个账户信息曝光

Rhinoer Rhinoer

犀牛安全

2026年3月21日 00:00 北京

ShinyHunters 勒索组织公布了超过 1200 万条据称从美国数字汽车平台 CarGurus 窃取的个人信息记录。

CarGurus 是一家在美国、加拿大和英国开展业务的公开上市汽车研究和购物公司。其网站每月估计有 4000 万访客，帮助人们查找、比较和联系新车和二手车的卖家。

2月21日，该威胁组织发布了一个包含1240万条记录的6.1GB压缩包，声称其来自CarGurus。一天后，HaveIBeenPwned (HIBP) 数据泄露监控和警报平台添加了该数据集，并列出了以下几种被泄露的数据类型：

• 电子邮件地址
• IP地址
• 全名
• 电话号码
• 物理地址
• 用户账号 ID
• 财务预审申请数据
• 金融应用结果
• 经销商账户详情
• 订阅信息

尽管 CarGurus 尚未发布官方声明披露数据泄露事件，也没有回应 BleepingComputer 的置评请求，但值得注意的是，HIBP 会在添加泄露记录之前尝试确认其有效性/真实性。

HIBP报告称，泄露数据中有70%此前已存在于其数据库中，因此大约有370万条记录是新泄露的。由于这些信息可以免费下载，网络犯罪分子可能会利用这些信息发起网络钓鱼攻击。

CarGurus 用户应警惕可能利用泄露信息进行的恶意通信和诈骗企图。

ShinyHunters 数据勒索组织最近非常活跃，声称对多家大型公司发动攻击，并在谈判陷入僵局时泄露其数据。

最近的例子包括荷兰电信供应商Odido、广告技术公司Optimizely、金融科技公司Figure、外套品牌Canada Goose、连锁餐厅Panera Bread、在线约会公司Match Group和音乐流媒体平台SoundCloud。

该威胁组织通常利用社会工程手段（最常见的是语音网络钓鱼）来入侵组织，将受害者引导至凭证窃取页面，从而让他们能够访问 Salesforce、Okta 和 Microsoft 365 等 SaaS 平台。

ShinyHunters 之前的攻击活动还包括诱骗员工安装恶意 OAuth 应用程序，从而授予他们对 Salesforce 实例中客户数据表的 API 级读取权限。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《美国数字汽车平 CarGurus 数据泄露事件导致1240万个账户信息曝光》