悪名高いサイバー犯罪集団がオンライン車両市場CarGurusから170万件の企業記録を盗んだとされており、同集団が水曜日にリークサイトにCarGurusを掲載したと発表しました。
「これは最終警告です。2026年2月20日までに連絡を取るようお願いします。そうしないと、いくつかの厄介な(デジタル)問題とともにリークされることになります」とShinyHuntersは声明で述べており、The Registerが確認し、ソーシャルメディアで共有されています。デジタル犯罪者らは、流出したファイルに個人識別情報と「その他の内部企業データ」が含まれていたと主張しています。
CarGurusはThe Registerからの問い合わせにはすぐに応じませんでした。同社からの返答があったら、この記事を更新します。
また、ShinyHuntersに対して、いつどのように車両ショッピングサイトに侵入したのかを確認するため連絡を取りましたが、すぐに返答を受けませんでした。
水曜日の投稿は、ShinyHuntersとScattered Lapsus$ Huntersが年初から主張している15件の侵害事件の終わりを告げるもので、日曜日にリストアップされたMercer AdvisorsとBeacon Pointe Advisorsの2つの投資顧問会社への侵入も含まれています。
恐喝犯らは両社に対して水曜日の期限を設定し、Mercerから500万件、Beacon Pointeから10万件のレコードをリークすると脅迫しました。どちらの企業もセキュリティ侵害通知を公表しておらず、The Registerのコメント要請にも応じていません。
ShinyHuntersによって侵害され、2月にリークサイトに掲載された少なくとも1社の企業は、その侵害は過去の攻撃に遡るものであると述べています。月曜日、Canada Gooseは我々に、「過去の顧客取引に関連する過去のデータセットが最近オンラインで公開されたことを認識している」ことを通知しました。
ダウンジャケットメーカーは、しかし、データの年代やそれが元々どのように盗まれたのかについては明かしませんでした。
ブロックチェーン融資企業Figure Technology Solutionsも先週ShinyHuntersのリークサイトにリストアップされており、Have I Been Pwndによると、犯罪者らは約100万件の顧客記録を盗みました。
Figureの広報担当者は、「従業員がソーシャルエンジニアリングの対象となり、これにより行為者がそのアカウントを通じて限定的な数のファイルをダウンロードすることが可能になった」とコメントしました。
「我々は迅速に活動をブロックし、フォレンジック企業を雇用して、どのファイルが影響を受けたかを調査しました」と、メールで送付されたスポークスパーソンの声明は続けています。「これらの問題の重要性を理解しており、パートナーおよび影響を受けた者に適切に対応しています。」
同社はまた、デジタル防御を強化するために「セーフガードとトレーニング」を追加し、すべての影響を受けた個人に無料のクレジットモニタリングを提供していると述べています。
その他の最近の被害者には、投資プラットフォームBetterment、Match Group(侵入中にマッチングサイトHinge、Match.com、OkCupidが侵害された)、Panera Bread、および車買取・レビューサイトCarvanaとEdmundsが含まれます。
ShinyHuntersは以前The Registerに、Bettermentのシステムへのアクセスをその他のシングルサインオン(SSO)コードへの音声フィッシングで、PaneraをMicrosoft Entra SSOコード経由で獲得したと述べています。犯罪者の広報担当者は、CarMaxおよびEdmunds侵害は以前の無関係な侵入からのものであると述べています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/18/shinyhunters_cargurus_breach/
