Ο λιανοπωλητής πολυτελείας Neiman Marcus επιβεβαίωσε ότι υπέστη παραβίαση δεδομένων αφού χάκερ προσπάθησαν να πουλήσουν τη βάση δεδομένων της εταιρείας που είχαν κλαπεί σε πρόσφατες επιθέσεις κλοπής δεδομένων Snowflake.
Σε μια ειδοποίηση παραβίασης δεδομένων που κατατέθηκε στο Γραφείο του Γενικού Εισαγγελέα του Μέιν, η εταιρεία λέει ότι η παραβίαση επηρέασε 64.472 άτομα.
“Τον Μάιο του 2024, μάθαμε ότι, μεταξύ Απριλίου και Μαΐου 2024, ένα μη εξουσιοδοτημένο τρίτο μέρος απέκτησε πρόσβαση σε μια πλατφόρμα βάσης δεδομένων που χρησιμοποιούσε η Neiman Marcus Group. Με βάση την έρευνά μας, το μη εξουσιοδοτημένο τρίτο μέρος έλαβε ορισμένες προσωπικές πληροφορίες που ήταν αποθηκευμένες στην πλατφόρμα της βάσης δεδομένων ” προειδοποιεί ο Neiman Marcus σε μια ειδοποίηση παραβίασης δεδομένων.
“Οι τύποι προσωπικών πληροφοριών που επηρεάζονταν διέφεραν ανάλογα με το άτομο και περιλάμβαναν πληροφορίες όπως όνομα, στοιχεία επικοινωνίας, ημερομηνία γέννησης και αριθμούς δωροκάρτας Neiman Marcus ή Bergdorf Goodman (χωρίς PIN δωροκάρτας).”
Ο Neiman Marcus είπε ότι απενεργοποίησαν την πρόσβαση στην πλατφόρμα της βάσης δεδομένων όταν εντοπίστηκε η παραβίαση, διερεύνησαν με ειδικούς στον τομέα της κυβερνο
ασφάλεια
ς και ειδοποίησαν τις αρχές επιβολής του νόμου.
Ενώ οι αριθμοί δωροκάρτας για τον Neiman Marcus και τον Bergdorf Goodman αποκαλύφθηκαν στην παραβίαση, τα δεδομένα δεν περιλάμβαναν PIN, επομένως οι δωροκάρτες θα πρέπει να εξακολουθούν να ισχύουν.
Σε μια δήλωση στο BleepingComputer, ο Neiman Marcus επιβεβαίωσε ότι τα δεδομένα κλάπηκαν από τον λογαριασμό τους στο Snowflake.
“Η Neiman Marcus Group (NMG) έμαθε πρόσφατα ότι ένα μη εξουσιοδοτημένο μέρος απέκτησε πρόσβαση σε μια πλατφόρμα βάσης δεδομένων
cloud
που χρησιμοποιείται από την NMG, η οποία παρέχεται από ένα τρίτο μέρος, το Snowflake”, δήλωσε ο όμιλος Neiman Marcus στο BleepingComputer.
Συνδέεται με επιθέσεις κλοπής δεδομένων Snowflake
Οι ειδοποιήσεις παραβίασης δεδομένων έρχονται αφότου ένας ηθοποιός απειλών ονόματι “Sp1d3r” έθεσε προς πώληση τα δεδομένα του Neiman Marcus σε ένα φόρουμ hacking για $150.000, όπως μοιράστηκε για πρώτη φορά από
HackManac
.
Αυτός ο παράγοντας απειλής βρίσκεται πίσω από την πώληση δεδομένων για πολλές εταιρείες που παραβιάστηκαν στις πρόσφατες επιθέσεις κλοπής δεδομένων Snowflake.
Ενώ ο ηθοποιός της απειλής δεν ανέφερε το Snowflake στη δημοσίευση, συμπεριέλαβε το “Raped Flake”, το οποίο αναφέρεται σε ένα προσαρμοσμένο
εργαλείο
με το ίδιο όνομα που οι ηθοποιοί απειλών δημιούργησαν για να κλέψουν δεδομένα από την πλατφόρμα της βάσης δεδομένων.
Δεδομένα
Neiman Marcus προς πώληση σε φόρουμ hacking
Πηγή: HacManac
Σύμφωνα με τον ηθοποιό απειλών, τα κλεμμένα δεδομένα περιελάμβαναν αυτά που μοιράστηκε ο Neiman Marcus, συν τα τελευταία τέσσερα ψηφία των αριθμών κοινωνικής ασφάλισης, συναλλαγές πελατών, email πελατών, αρχεία αγορών, δεδομένα υπαλλήλων και εκατομμύρια αριθμούς δωροκάρτας.
Ο ηθοποιός της απειλής ισχυρίζεται ότι προσπάθησε να εκβιάσει την εταιρεία πριν από την ανάρτηση στο φόρουμ, δηλώνοντας ότι η εταιρεία αρνήθηκε να πληρώσει αίτημα εκβίασης.
Ωστόσο, αμέσως μετά τη δημοσίευση της ανάρτησης στο φόρουμ, αφαιρέθηκε στη συνέχεια μαζί με το δείγμα δεδομένων, υποδεικνύοντας ότι η εταιρεία μπορεί να έχει ξεκινήσει διαπραγματεύσεις με τους παράγοντες της απειλής.
165 οργανισμοί πιθανότατα επηρεάστηκαν από επιθέσεις με νιφάδες χιονιού
Μια κοινή έρευνα από τους SnowFlake, Mandiant και CrowdStrike αποκάλυψε ότι ένας παράγοντας απειλής, ο οποίος παρακολουθείται ως UNC5537, χρησιμοποίησε κλεμμένα διαπιστευτήρια πελατών για να στοχεύσει τουλάχιστον 165 οργανισμούς που δεν είχαν διαμορφώσει προστασία ελέγχου ταυτότητας πολλαπλών παραγόντων στους λογαριασμούς τους.
Mandiant επίσης
συνδεδεμένο
οι επιθέσεις Snowflake σε έναν παράγοντα απειλής με οικονομικά κίνητρα παρακολουθείται ως UNC5537 από τον Μάιο του 2024. Αυτός ο παράγοντας απειλής είναι γνωστός για την παραβίαση οργανισμών, την κλοπή δεδομένων και την προσπάθεια εκβίασης εταιρειών να πληρώσουν λύτρα για να μην δημοσιευτούν τα δεδομένα ή να διαρρεύσουν σε άλλους παράγοντες απειλών .
Ενώ η Mandiant δεν έχει αποκαλύψει δημόσια πολλές πληροφορίες για το UNC5537, η BleepingComputer έμαθε ότι αποτελούν μέρος μιας κοινότητας παραγόντων απειλών που επισκέπτονται συχνά τους ίδιους ιστότοπους, διακομιστές Telegram και Discord.
Για να παραβιάσει τους λογαριασμούς Snowflake, ο ηθοποιός των απειλών χρησιμοποίησε διαπιστευτήρια που είχαν κλαπεί από μολύνσεις από κακόβουλο λογισμικό κλοπής πληροφοριών που χρονολογούνται από το 2020.
“Οι λογαριασμοί που επηρεάστηκαν δεν είχαν διαμορφωθεί με ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων, πράγμα που σημαίνει ότι ο επιτυχημένος έλεγχος ταυτότητας απαιτούσε μόνο ένα έγκυρο όνομα χρήστη και κωδικό πρόσβασης”, είπε ο Mandiant.
“Τα διαπιστευτήρια που προσδιορίστηκαν στην έξοδο κακόβουλου λογισμικού infostealer εξακολουθούσαν να ισχύουν, σε ορισμένες περιπτώσεις χρόνια μετά την κλοπή τους, και δεν είχαν περιστραφεί ή ενημερωθεί. Οι επηρεαζόμενες παρουσίες πελατών Snowflake δεν διέθεταν λίστες επιτρεπόμενων από το δίκτυο που να επιτρέπουν πρόσβαση μόνο από αξιόπιστες τοποθεσίες.”
UNC5537 Χρονοδιάγραμμα επίθεσης Snowflake
Πηγή: Mandiant
Οι Snowflake και Mandiant έχουν ήδη ειδοποιήσει περίπου 165 οργανισμούς που ενδέχεται να εκτεθούν σε αυτές τις συνεχιζόμενες επιθέσεις.
Πρόσφατες παραβιάσεις που συνδέονται με αυτές τις επιθέσεις περιλαμβάνουν Santander,
Ticketmaster
,
QuoteWizard/LendingTree
Advance Auto Parts, Los Angeles Unified και Pure Storage.
VIA:
bleepingcomputer.com
0