heise PlusAbo
Anzeige

CarGurus: Have I Been Pwned integriert Daten von 12,5 Millionen Kunden

Have I Been Pwned ist um 12,5 Millionen Einträge von CarGurus-Nutzern und -Nutzerinnen reicher. Die haben ShinyHunters geklaut.

vorlesen Druckansicht
Leaksite der ShinyHunters im Darknet mit Eintrag zu CarGuru

(Bild: heise medien)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die kriminelle Online-Bande ShinyHunters hat Daten von Nutzern und Nutzerinnen bei dem Fahrzeug-Verkaufsdienstleister CarGurus Inc. kopiert. Nach offenbar fehlgeschlagenem Erpressungsversuch des seit 2017 auch in Deutschland aktiven Unternehmens sind die Daten nun öffentlich. Das Prüfangebot Have-I-Been-Pwned (HIBP) von Troy Hunt hat die Daten aufgenommen. Wer die Plattform genutzt hat, kann dort jetzt prüfen, ob die eigenen Informationen betroffen sind.

Wie Hunt auf der Have-I-Been-Pwned-Übersichtsseite zu den Datenlecks schreibt, umfassen die veröffentlichten Daten mehr als 12 Millionen E-Mail-Adressen in mehreren Dateien. Zudem sind Nutzerkonten-IDs enthalten, Daten aus finanziellen Vorprüfungen, Händlerkonten sowie Abo-Informationen. Hunt führt weiter aus, dass auch Namen, Telefonnummern, Anschriften und IP-Adressen sowie der Ausgang von Finanzierungsanfragen betroffen sind.

CarGurus: Umfangreicher Datensatz kopiert

Laut der Leaksite von ShinyHunters im Darknet sind die Daten komprimiert 6,1 GByte groß und umfassen mehr als 12,4 Millionen Einträge – das deckt sich mit den Angaben von Troy Hunt. Die Cyberbande hat die Daten demnach am vergangenen Samstag veröffentlicht. Hunt hat sie am gestrigen Sonntag in die HIBP-Datensammlung eingepflegt.

Videos by heise

ShinyHunters fielen etwa Mitte Dezember auf, als die Kriminellen Daten von einem Dienstleister von Pornhub abgegriffen hatten und mit deren Veröffentlichung drohten. Diese gehörten etwa zu Nutzern des Premium-Angebots der Pornografie-Plattform. Zu dem Zeitpunkt war der Darknet-Auftritt der Gruppe offline. Nun ist er jedoch wieder erreichbar.

Wer prüfen möchte, ob die eigene E-Mail-Adresse in diesem oder anderen Datenlecks enthalten ist, kann das einfach auf der Webseite des Have-I-Been-Pwned-Projekts machen. Der Identity Leak Checker des Hasso-Plattner-Instituts bietet einen vergleichbaren Dienst an, ebenso die Universität Bonn mit ihrem eigenen Identity Leak Checker. Anfang November vergangenen Jahres hatte das Have-I-Been-Pwned-Projekt 1,3 Milliarden neu geleakter E-Mail-Adressen zu dem Datenfundus hinzugefügt. Sie stammten von Datensammlungen, die Infostealer-Malware angelegt hatte.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten