文章总结： 2026年2月，汽车交易平台CarGurus遭ShinyHunters组织攻击，导致约1240万条用户数据泄露。攻击者因勒索谈判破裂公开数据，HIBP平台已验证收录。公司回应已隔离环境并调查，称核心系统未受影响。该事件暴露了SaaS身份管理体系在社会工程学攻击面前的脆弱性，企业应加强身份与访问管理建设以应对此类风险。 综合评分： 70 文章分类： 数据泄露,安全大事件,威胁情报

CarGurus数据泄露事件简单分析

原创

🅼🅰🆈 🅼🅰🆈

独眼情报

2026年2月26日 11:12 湖北

2026年2月，全球领先的在线汽车交易平台 CarGurus 遭遇大规模数据泄露。攻击被广泛归因于以数据敲诈闻名的 ShinyHunters。攻击者在谈判破裂后公开发布约6.1GB数据包，涉及约1240万至1250万条账户记录。数据泄露监控平台 Have I Been Pwned 已收录并验证该数据集。事件不仅冲击消费者隐私，也暴露出以SaaS为核心的企业身份与访问管理体系在社会工程学攻击面前的系统性脆弱。

一、事件时间线与披露动态

2月中旬，攻击者通过其泄露站点向CarGurus发出最后通牒。2月21日数据被公开，次日HIBP完成收录。早期攻击声明曾提及170万条记录，最终公开规模远高于初始数字。公司随后确认发生网络安全事件，表示已隔离受影响环境并启动第三方调查，称核心系统与经销商接口未见被入侵迹象，业务保持运行。公开信息未对外部披露的账户规模提出实质性异议。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 🅼🅰🆈 🅼🅰🆈《CarGurus数据泄露事件简单分析》