Gegevens van maximaal 200.000 Europcar-klanten liggen op straat nadat aanvallers de GitLab-repositories van het bedrijf kraakten. Ook softwarecode werd gestolen.
Aanvallers hebben zich toegang verschaft tot de GitLab-repositories van autoverhuurder Europcar Mobilty Group. Daar hebben ze broncode gestolen voor de applicaties op iOS en Android, samen met data van klanten. Van hoeveel klanten er gegevens op straat liggen, is onduidelijk, maar het aantal kan oplopen tot 200.000. De totale buit bedroeg 37 GB. De crimineel heeft geprobeerd om het bedrijf af te persen.
Europcar Mobility Group maakt onderdeel uit van een groep waaronder ook Goldcar en Ubeeqo vallen. De gestolen klantengegevens zouden vooral afkomstig zijn van de databases van die twee merken. Europcar heeft het lek bevestigt aan Bleepingcomputer, dat weet dat er minstens 50.000 klanten getroffen zijn.
Namen en e-mailadressen
De gestolen data zouden niet heel gevoelig zijn. Het gaat vermoedelijk enkel om namen en e-mailadressen, en geen data van bijvoorbeeld betaalkaarten of rijbewijzen. Europcar Mobility Group is momenteel bezig om getroffen klanten op de hoogte te brengen.
Op dit moment is het nog onduidelijk hoe de criminelen zich toegang konden verschaffen tot de systemen. De aanvallers claimen dat ze alle broncode van de apps voor Android en iOS hebben gestolen, maar dat blijkt niet helemaal te kloppen. Een klein deel van de code blijft gevrijwaard.
Het hack is aan de grote kant, zowel wat de gestolen code als de impact op klanten betreft. Die klanten moeten niet meteen vrezen dat hun bankrekeningen worden geplunderd, maar de gelekte info is wel weer voer voor andere criminelen die gerichte phishing-campagnes willen opzetten. Gitlab zelf werd pas nog getroffen door kwetsbaarheden, al heeft het bedrijf die wel prompt weggewerkt.