ShinyHunters, 1,240만 건 CarGurus 사용자 데이터 유출…대규모 정보 유출 사태

CarGurus, 1,240만 명 사용자 데이터 유출 사태 확인

ShinyHunters 해킹 그룹이 미국의 대표적인 중고차 온라인 마켓플레이스 CarGurus에서 1,240만 건의 개인정보를 유출한 사실이 확인되었습니다. 이번 사건은 제3자 데이터 노출과 랜섬웨어 공격의 지속적인 위험성을 보여줍니다.

유출 사건의 주요 내용

• 공격 주체: 데이터 유출 및 랜섬웨어 공격으로 유명한 ShinyHunters
• 피해 기업: 중고차 구매자와 판매자를 연결하는 플랫폼 CarGurus, Inc.(NASDAQ: CG)
• 유출 규모: 1,240만 명의 사용자 계정 및 개인식별정보(PII) 포함
• 유출 데이터: 정확한 내용은 분석 중이나, 이전 ShinyHunters 유출 사례에는 이름, 이메일, 전화번호, 해시된 비밀번호 등이 포함됨
• 공개 일자: [원문 미기재] 공개 유출을 통해 확인됨

기술적 배경 및 영향

CarGurus는 아직 공격 경로에 대한 공식 입장을 발표하지 않았지만, ShinyHunters는 일반적으로 다음을 악용합니다:

• 잘못 구성된 클라우드 스토리지(예: AWS S3 버킷, 데이터베이스)
• 웹 애플리케이션 또는 API의 패치되지 않은 취약점
• 제3자 공급망 침해

유출된 데이터는 다음과 같은 심각한 위험을 초래할 수 있습니다:

• 자격 증명 스터핑 공격(비밀번호가 약하게 저장되거나 평문으로 저장된 경우)
• 피싱 및 소셜 엔지니어링 공격 대상 사용자 증가
• 신원 도용 및 금융 사기 가능성

보안 팀은 다음과 같은 조치를 우선적으로 취해야 합니다:

1. 기업 환경 내 유출된 자격 증명 모니터링
2. CarGurus 계정과 연계된 직원 또는 고객 데이터 노출 여부 확인
3. 유출된 개인정보를 악용한 피싱 공격 대비 강화

조치 방안

• CarGurus: 공식 유출 통지 및 대응 조치(예: 비밀번호 재설정, 신용 모니터링 서비스 제공) 발표 예상
• 피해 사용자: 비밀번호 재설정, 다중 인증(MFA) 활성화, 의심스러운 연락에 주의
• 보안 팀: 유출된 자격 증명과 연계된 비인가 접근 로그 검토

이번 사건은 디지털 마켓플레이스에서 지속적인 취약점 스캔, 최소 권한 접근 제어, 제3자 위험 평가의 중요성을 강조합니다. CarGurus의 공식 조사 결과에 따라 추가 업데이트가 제공될 예정입니다.

출처: BleepingComputer (Bill Toulas)