A Zoomcar Holdings (Zoomcar) revelou que um acesso não autorizado ao seu sistema resultou em um vazamento de dados afetando 8,4 milhões de usuários.
O incidente foi detectado em 9 de junho, após um ator de ameaça enviar um e-mail para os funcionários da empresa alertando-os sobre um cyberataque.
Embora não tenha havido interrupção significativa dos serviços, a investigação interna da empresa confirmou que dados sensíveis de um subconjunto de seus clientes foram comprometidos.
A Zoomcar é um marketplace indiano de car-sharing entre pares que conecta proprietários de carros com locatários em mercados emergentes na Ásia, oferecendo aluguéis de veículos de curto e médio prazo.
A empresa tornou-se uma companhia pública registrada nos EUA, Delaware, no final de 2023, após uma fusão com uma empresa americana de cheque em branco, a IOAC, e suas ações agora são negociadas na Nasdaq (ZCAR).
Adotando os padrões de relatório financeiro dos EUA, a empresa é obrigada a relatar o incidente à U.S. Securities and Exchange Commission (SEC).
Em 9 de junho de 2025, a Zoomcar Holdings, Inc.
identificou um incidente de cibersegurança envolvendo acesso não autorizado aos seus sistemas de informação", informa a empresa.
A empresa tomou conhecimento do incidente depois que certos funcionários receberam comunicações externas de um ator de ameaça alegando acesso não autorizado aos dados da empresa.
Os resultados de sua investigação preliminar mostram que os seguintes dados de 8,4 milhões de clientes foram expostos a uma parte não autorizada:
- Nome completo
- Número de telefone
- Número de registro do carro
- Endereço residencial
- Endereço de e-mail
A Zoomcar diz que não há evidências de que as informações financeiras dos usuários, senhas em texto simples ou quaisquer outros dados sensíveis que poderiam levar à identificação de indivíduos tenham sido expostos.
A empresa enfatizou que ainda está avaliando o escopo exato e o impacto potencial do incidente de segurança.
Até o momento, o tipo de ataque não foi determinado e nenhum grupo de ransomware assumiu responsabilidade pelo ataque na Zoomcar.
Em 2018, a Zoomcar sofreu outro grande vazamento de dados que expôs registros de mais de 3,5 milhões de clientes, incluindo nomes, endereços de e-mail e IP, números de telefone e senhas armazenadas como hashes bcrypt.
Esses dados foram eventualmente oferecidos à venda em um marketplace clandestino em 2020, expondo os clientes da Zoomcar a riscos elevados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...