Retailerul de lux Neiman Marcus a confirmat că a suferit o violare a datelor după ce hackerii au încercat să vândă baza de date a companiei furată în atacurile recente de furt de date Snowflake.
Într-o notificare privind violarea datelor depusă la Biroul Procurorului General din Maine, compania spune că violarea a afectat 64.472 de persoane.
„În mai 2024, am aflat că, între aprilie și mai 2024, o terță parte neautorizată a obținut acces la o platformă de date utilizată de Grupul Neiman Marcus. Bazându-ne pe investigația noastră, terța parte neautorizată a obținut anumite informații personale stocate în platforma de date”, avertizează Neiman Marcus într-o notificare privind violarea datelor.
„Tipurile de informații personale afectate variau în funcție de individ și includeau informații precum nume, informații de contact, dată de naștere și numere de card cadou Neiman Marcus sau Bergdorf Goodman (fără PIN-urile cardurilor cadou).”
Neiman Marcus a declarat că a dezactivat accesul la platforma de date când a fost detectată violarea, a investigat cu experți în securitate cibernetică și a notificat autoritățile.
În timp ce numerele cardurilor cadou pentru Neiman Marcus și Bergdorf Goodman au fost expuse în violare, datele nu includ PIN-uri, astfel încât cardurile cadou ar trebui să fie încă valabile.
Într-o declarație către BleepingComputer, Neiman Marcus a confirmat că datele au fost furate din contul lor Snowflake.
„Grupul Neiman Marcus (NMG) a aflat recent că o parte neautorizată a obținut acces la o platformă de date cloud utilizată de NMG furnizată de o terță parte, Snowflake”, a declarat Neiman Marcus Group către BleepingComputer.
Notificările de violare a datelor vin după ce un actor de amenințare numit „Sp1d3r” a pus datele Neiman Marcus în vânzare pe un forum de hacking pentru 150.000 de dolari, așa cum a fost distribuit inițial de HackManac.
Acest actor de amenințare este în spatele vânzării datelor pentru numeroase companii afectate în atacurile recente de furt de date Snowflake.
Deși actorul de amenințare nu a menționat Snowflake în postare, au inclus „Raped Flake”, ceea ce se referă la un instrument personalizat cu același nume creat de actorii de amenințare pentru a fura date din platforma de date.
Potrivit actorului de amenințare, datele furate includ ceea ce a împărtășit Neiman Marcus, plus ultimele patru cifre ale numerelor de securitate socială, tranzacțiile clienților, e-mailurile clienților, înregistrările de cumpărături, datele angajaților și milioane de numere de carduri cadou.
Actorul de amenințare susține că a încercat să șantajeze compania înainte de postarea pe forum, declarând că compania a refuzat să plătească o cerere de șantaj.
Însă, imediat după ce postarea a fost făcută pe forum, aceasta a fost ulterior eliminată împreună cu eșantionul de date, indicând că compania ar putea fi început negocierile cu actorii de amenințare.
O investigație comună realizată de SnowFlake, Mandiant și CrowdStrike a relevat că un actor de amenințare, urmărit sub numele de UNC5537, a utilizat datele de autentificare ale clienților furate pentru a viza cel puțin 165 de organizații care nu configuraseră protecția de autentificare cu factori multipli pe conturile lor.
Mandiant a legat și atacurile Snowflake de un actor de amenințare cu motivație financiară urmărit sub numele de UNC5537 începând cu mai 2024. Acest actor de amenințare este cunoscut pentru furtul de date din organizații și încercarea de a șantaja companiile să plătească o răscumpărare pentru ca datele să nu fie publicate sau să fie scurse către alți actori de amenințare.
Deși Mandiant nu a dezvăluit public multe informații despre UNC5537, BleepingComputer a aflat că fac parte dintr-o comunitate de actori de amenințare care vizitează frecvent aceleași site-uri web, precum și servere Telegram și Discord.
Pentru a viola conturile Snowflake, actorul de amenințare a utilizat datele de autentificare furate de infecțiile malware care fură informații începând cu 2020.
„Conturile afectate nu erau configurate cu autentificarea cu factori multipli activată, ceea ce înseamnă că autentificarea reușită necesita doar un nume de utilizator și o parolă valabilă”, a declarat Mandiant.
„Credențialele identificate în ieșirea malware-ului infostealer erau încă valabile, în unele cazuri, ani de zile după ce au fost furate și nu fuseseră rotite sau actualizate. Instanțele clienților Snowflake afectate nu aveau liste de aprobare a rețelei pentru a permite accesul doar din locații de încredere.”
Snowflake și Mandiant au notificat deja aproximativ 165 de organizații expuse potențial acestor atacuri în curs.
Violările recente legate de aceste atacuri includ Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified și Pure Storage.
Advance Auto Parts confirmă că violarea datelor a expus informațiile angajaților
Cooler Master confirmă că informațiile clienților au fost furate în violarea datelor
Dell avertizează cu privire la violarea datelor, 49 de milioane de clienți afectați presupus
AMD investighează violarea după ce datele sunt puse în vânzare pe un forum de hacking
Cylance confirmă violarea datelor legate de platforma „terță parte”
Leave a Reply