119/69 (IT) ประจำวันศุกร์ที่ 27 กุมภาพันธ์ 2569
กลุ่มอาชญากรรมไซเบอร์ ShinyHunters ได้เผยแพร่ข้อมูลส่วนบุคคลจากบัญชีผู้ใช้งาน CarGurus กว่า 12.4 ล้านรายการ หลังความพยายามเรียกค่าไถ่แต่ไม่ประสบความสำเร็จ โดย CarGurus เป็นแพลตฟอร์มตลาดซื้อขายและค้นคว้าข้อมูลยานยนต์ของสหรัฐอเมริกา ที่มีบริการในสหรัฐฯ แคนาดา และสหราชอาณาจักร ซึ่งมีผู้เข้าใช้งานประมาณ 40 ล้านรายต่อเดือน และเป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์ ถือเป็นหนึ่งในผู้เล่นรายสำคัญของตลาดซื้อขายรถยนต์ออนไลน์
เหตุการณ์ดังกล่าวเกิดขึ้นในเดือนกุมภาพันธ์ 2026 ส่งผลให้ข้อมูลส่วนบุคคลรั่วไหล ได้แก่ อีเมล หมายเลขบัญชีผู้ใช้ ข้อมูลการสมัครสินเชื่อยานยนต์ ข้อมูลตัวแทนจำหน่าย ชื่อ–นามสกุล หมายเลขโทรศัพท์ ที่อยู่ หมายเลข IP และผลการพิจารณาสินเชื่อยานยนต์ โดยต่อมาเมื่อวันที่ 21 กุมภาพันธ์ กลุ่ม ShinyHunters ได้เผยแพร่ไฟล์ข้อมูลขนาด 6.1GB ซึ่งบีบอัดไว้และมีข้อมูลมากกว่า 12.4 ล้านระเบียน ขณะที่บริการติดตามเหตุข้อมูลรั่วไหล Have I Been Pwned (HIBP) ได้เพิ่ม CarGurus เข้าในฐานข้อมูลเหตุรั่วไหลดังกล่าวแล้ว
ข้อมูลที่ถูกเปิดเผยประกอบด้วยที่อยู่อีเมล ชื่อ–นามสกุล ที่อยู่ หมายเลข IP และหมายเลขโทรศัพท์ ซึ่งก่อให้เกิดความเสี่ยงหลายประการต่อผู้ใช้งาน เช่น การนำไปใช้ในการโจมตีแบบฟิชชิงและวิศวกรรมสังคม (Social Engineering) ที่มีความน่าเชื่อถือสูงขึ้นจากการใช้ข้อมูลจริง การโจรกรรมข้อมูลประจำตัว (Identity Theft) และการฉ้อโกงทางการเงิน โดยเฉพาะเมื่อมีข้อมูลเกี่ยวกับการสมัครสินเชื่อ รวมถึงความเสี่ยงต่อการยึดบัญชี (Account Takeover) หากผู้ใช้งานใช้รหัสผ่านซ้ำในหลายแพลตฟอร์ม โดยกลุ่ม ShinyHunters มีประวัติโจมตีองค์กรขนาดใหญ่หลายแห่งในช่วงที่ผ่านมา เช่น Odido, Figure, Canada Goose และ SoundCloud โดยมักใช้เทคนิค Social Engineering โดยเฉพาะ Voice Phishing (Vishing) เพื่อขโมยข้อมูลรับรองและเข้าถึงระบบ SaaS เช่น Salesforce, Okta และ Microsoft 365
