Selon The Register, le gang ShinyHunters a publié sur son site de fuite une revendication de brèche chez CarGurus, annonçant le vol de 1,7 million d’enregistrements « corporate » et posant un ultimatum au 20 février 2026, avec menace de divulgation et d’autres « problèmes numériques ».

Le collectif affirme que l’intrusion s’est produite le 13 février et s’inscrit dans une série de vols de code où des attaques de voice phishing (vishing) ont servi à obtenir des codes de Single Sign-On (SSO) auprès d’utilisateurs des services Okta, Microsoft et Google. Les données compromises incluraient, selon les cybercriminels, des informations personnellement identifiables (PII) et d’autres données internes. CarGurus n’a pas répondu aux sollicitations de The Register au moment de la publication.

Cette annonce s’ajoute à une série de 15 brèches revendiquées depuis le début de l’année par ShinyHunters et « Scattered Lapsus$ Hunters », dont Mercer Advisors (menace de fuite de 5 M d’enregistrements) et Beacon Pointe Advisors (100 000), avec une date butoir fixée au mercredi de la semaine de publication. Les deux sociétés n’ont ni publié de notification de brèche ni répondu à The Register. Figure Technology Solutions apparaît aussi sur le site de fuite, avec près d’1 million de clients affectés selon Have I Been Pwned; l’entreprise indique qu’un employé a été victime de social engineering, permettant le téléchargement d’un nombre limité de fichiers, avant blocage de l’activité, enquête forensique, communication aux parties concernées, renforcement des mesures de protection et formations, et surveillance de crédit gratuite pour les personnes impactées.

D’autres victimes récentes citées incluent Betterment, Match Group (sites Hinge, Match.com, OkCupid), Panera Bread, ainsi que les sites auto CarMax et Edmunds. ShinyHunters a déclaré à The Register avoir accédé à Betterment via des codes SSO Okta obtenus par vishing, et à Panera via un code SSO Microsoft Entra; pour CarMax et Edmunds, il s’agirait d’intrusions antérieures non liées. Par ailleurs, Canada Goose indique qu’un jeu de données historique relatif à d’anciennes transactions clients a été récemment publié en ligne.

TTPs observées (d’après l’article):

  • 🎣 Vishing (voice phishing) pour soutirer des codes SSO/MFA (Okta, Microsoft Entra, Google)
  • 🕵️ Ingénierie sociale d’employés pour accéder à des comptes et télécharger des fichiers
  • 💣 Extorsion avec ultimatum et site de fuite (« grab‑and‑leak »)
  • 📦 Exfiltration alléguée de PII et de données internes

Type d’article: article de presse spécialisé visant à rapporter des revendications de brèches, les méthodes alléguées et l’état des réponses des organisations mentionnées.

🔗 Source originale : https://www.theregister.com/2026/02/18/shinyhunters_cargurus_breach/