汽车在线市场平台 CarGurus 近日确认遭遇一次网络安全事件，外部安全机构称此次事件导致数以百万计客户信息遭到泄露。

据由安全研究员 Troy Hunt 运营的数据泄露通知网站 Have I Been Pwned 报告，本次事件中约有 1,250 万个 CarGurus 账户受到影响。该网站称，被泄露的数据包括客户姓名、电子邮件地址、电话号码和实际地址等信息。

CarGurus 成立于 2006 年，运营一个在线市场，为用户提供购车、卖车及车辆融资等服务。Have I Been Pwned 将此次数据泄露归因于黑客组织 ShinyHunters。

报道指出，ShinyHunters 以运用社会工程学手段而知名，包括冒充需要重置密码的员工致电帮助台等方式。该组织此前被指通过社会工程学从多所大学窃取大量数据，并从 Salesforce 客户（包括谷歌和 Workday）处窃取逾十亿条记录，还声称近期入侵了 Pornhub 和金融科技贷款机构 Figure。

CarGurus 发言人 Maggie Meluzio 向 TechCrunch 证实，公司近期经历了一起网络安全事件，并表示事件“目前已得到控制”。

Meluzio 表示，没有迹象显示经销商数据传输、API 或消费者及经销商合作伙伴使用的核心系统或产品受到影响。她称，公司保持全面运营，服务未出现中断，并将根据适用法律通知任何可能受影响的个人。

CarGurus 未对 Have I Been Pwned 报告的受影响账户数量提出异议。

根据 Have I Been Pwned 的说明，此次泄露的数据除基本联系信息外，还包括用户账户 ID 映射、融资预资格申请相关数据，以及经销商账户和订阅信息。

这是 Have I Been Pwned 今年披露的第二起与汽车行业相关的数据泄露事件。上个月，该网站报告称，在一起未遂勒索事件后，疑似来自 CarMax 的数据被公开，涉及约 431,000 个唯一电子邮件地址，以及相关姓名、电话号码和实际地址。

（本文已根据周三收到的 CarGurus 评论更新。）