El detallista de luxe Neiman Marcus va confirmar que va patir una violació de dades després que els pirates informàtics intentessin vendre la base de dades de l’empresa robada en els atacs recents de robatori de dades de Snowflake.

En una notificació d’incompliment de dades presentada a l’Oficina del Fiscal General de Maine, l’empresa diu que l’incompliment va afectar  64.472 persones.

«El maig de 2024, vam saber que, entre abril i maig de 2024, un tercer no autoritzat va tenir accés a una plataforma de base de dades utilitzada per Neiman Marcus Group. A partir de la nostra investigació, el tercer no autoritzat va obtenir certa informació personal emmagatzemada a la plataforma de base de dades», adverteix Neiman Marcus en una notificació de violació de dades.

«Els tipus d’informació personal afectats variaven segons la persona i incloïen informació com ara el nom, la informació de contacte, la data de naixement i els números de targeta de regal de Neiman Marcus o Bergdorf Goodman (sense PIN de la targeta de regal).»

Neiman Marcus va dir que van desactivar l’accés a la plataforma de base de dades quan es va detectar la violació, van investigar-ho amb experts en ciberseguretat i ho van notificar a les forces de l’ordre.

Tot i que els números de les targetes de regal de Neiman Marcus i Bergdorf Goodman van quedar exposats a la violació de seguretat, les dades no incloïen els PIN, de manera que les targetes de regal encara haurien de ser vàlides.

En una declaració a BleepingComputer, Neiman Marcus va confirmar que les dades van ser robades del seu compte a Snowflake.

«Neiman Marcus Group (NMG) va saber recentment que una part no autoritzada va obtenir accés a una plataforma de bases de dades al núvol utilitzada per NMG que proporciona un tercer, Snowflake», va dir Neiman Marcus Group a BleepingComputer.

Vinculat als atacs de robatori de dades de Snowflake

Les notificacions de violacions de seguretat de dades arriben després que un actor d’amenaces anomenat “Sp1d3r” va posar a la venda les dades de Neiman Marcus en un fòrum de pirateria per 150.000 dòlars, tal com va compartir per primera vegada HackManac.

Aquest actor d’amenaça està darrere de la venda de dades per a nombroses empreses violades als atacs recents de robatori de dades de Snowflake.

Tot i que l’actor de l’amenaça no va mencionar Snowflake a la publicació, van incloure «Raped Flake», que fa referència a una eina personalitzada del mateix nom que els actors de l’amenaça van crear per robar dades de la plataforma de bases de dades.

Segons l’actor de l’amenaça, les dades robades incloïen el que Neiman Marcus va compartir, més els últims quatre dígits dels números de la seguretat social, les transaccions dels clients, els correus electrònics dels clients, els registres de compres, les dades dels empleats i milions de números de targetes de regal.

L’actor d’amenaça afirma haver intentat extorsionar l’empresa abans de la publicació del fòrum, afirmant que l’empresa es va negar a pagar una demanda d’extorsió.

No obstant això, poc després que es fes la publicació al fòrum, es va retirar posteriorment, juntament amb la mostra de dades, cosa que indica que l’empresa podria haver començat a negociar amb els actors de l’amenaça.

165 organitzacions probablement afectades pels atacs de Snowflake

A la investigació conjunta de Snowflake, Mandiant i CrowdStrike van revelar que un actor d’amenaces, rastrejat com a UNC5537, va utilitzar credencials de client robades per apuntar com a mínim a 165 organitzacions que no havien configurat la protecció d’autenticació multifactor als seus comptes.

Mandiant també va relacionar Snowflake amb un atac d’un actor d’amenaces per motius financers que s’havia rastrejat com a UNC5537 des del maig de 2024. Aquest actor d’amenaça és conegut per violar la seguretat d’organitzacions, robar dades i intentar extorsionar les empreses perquè paguin un rescat perquè les dades no es publiquin o es filtrin a altres actors d’amenaça.

Tot i que Mandiant no ha divulgat públicament molta informació sobre UNC5537, BleepingComputer s’ha assabentat que forma part d’una comunitat d’actors d’amenaça que visiten freqüentment els mateixos llocs web, servidors de Telegram i Discord.

Per infringir els comptes de Snowflake, l’actor d’amenaces va utilitzar credencials robades per infeccions de programari maliciós que robaven informació des del 2020.

«Els comptes afectats no es van configurar amb l’autenticació multifactor activada, cosa que significa que l’autenticació correcta només requeria un nom d’usuari i una contrasenya vàlids», va dir Mandiant.

«Les credencials identificades a la sortida del programari maliciós infostealer encara eren vàlides, en alguns casos anys després de ser robades, i no s’havien rotat ni actualitzat. Les instàncies dels clients de Snowflake afectades no tenien llistes d’autorització de xarxa establertes per permetre l’accés només des d’ubicacions de confiança».

Snowflake i Mandiant ja han notificat al voltant de 165 organitzacions potencialment exposades a aquests atacs en curs.

Les infraccions recents relacionades amb aquests atacs inclouen Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified, i Pure Storage.