Agentes de ameaça afirmam estar vendendo 3TB de dados da Advance Auto Parts, um dos principais fornecedores de peças automotivas aftermarket, roubados após violarem a conta da empresa no Snowflake.
A Advance opera 4.777 lojas e 320 filiais Worldpac, além de servir 1.152 lojas Carquest independentes nos Estados Unidos, Canadá, Porto Rico, Ilhas Virgens Americanas, México e várias ilhas do Caribe.
Como o agente de ameaça (utilizando o pseudônimo Sp1d3r) revelou hoje, o extenso arquivo de dados roubados do ambiente de armazenamento em nuvem Snowflake da Advance inclui:
- 380 milhões de perfis de clientes (nome, e-mail, celular, telefone, endereço e mais)
- 140 milhões de pedidos de clientes
- 44 milhões de números de Cartões de Fidelidade/Gasolina (com detalhes do cliente)
- Peças de automóveis/números de peças
- Histórico de vendas
- Informações de candidatos a emprego com SSNs, números de carteira de motorista e detalhes demográficos
- Detalhes de transações financeiras
Eles também mencionaram que estão vendendo informações roubadas de 358.000 funcionários, embora a empresa atualmente tenha cerca de 68.000.
A diferença pode ser de dados antigos pertencentes a ex-funcionários e associados.
A Advance ainda não divulgou publicamente esta violação e não notificou a Comissão de Valores Mobiliários dos EUA (U.S.Securities and Exchange Commission) sobre o incidente.
O agente de ameaça que está vendendo os dados da Advance por US$ 1,5 milhão em um fórum de hacking disse que os dados foram roubados em ataques recentes que visam clientes da empresa de armazenamento em nuvem Snowflake desde pelo menos meados de abril de 2024.
Os serviços em nuvem da Snowflake são utilizados por 9.437 clientes, incluindo empresas de alto perfil mundialmente, como Adobe, AT&T, Kraft Heinz, Mastercard, Micron, Capital One, Doordash, HP, Nielsen, Novartis, Okta, PepsiCo, Siemens, Instacart, JetBlue, NBC Universal, US Foods, Western Union, Yamaha e muitas outras.
O agente de ameaça também disse que a empresa automotiva não é o único cliente da Snowflake cujos dados foram exfiltrados.
Alguns clientes da Snowflake supostamente já pagaram para recuperar seus dados após serem contatados pelos atacantes, de acordo com o agente de ameaça.
Conforme compartilhado inicialmente pela empresa de threat intel HackManac, os dados vazados contêm inúmeras referências a "SNOWFLAKE", corroborando a alegação do agente de ameaça de que foram roubados nos recentes ataques de furto de dados do Snowflake.
Recentes violações no Santander e na Ticketmaster também foram vinculadas a esses ataques.
A empresa matriz da TicketMaster, Live Nation, confirmou que a firma de ticketing foi atingida por uma violação de dados após sua conta Snowflake ser comprometida em 20 de maio.
A empresa confirmou em um comunicado conjunto com a CrowdStrike e a Mandiant que os atacantes usam credenciais roubadas para atingir clientes com autenticação multifator desabilitada.
A Snowflake acrescentou que, embora a conta de demonstração de um funcionário tenha sido comprometida nesta campanha usando credenciais roubadas, esta conta não forneceu aos agentes de ameaça acesso a dados sensíveis e sistemas de produção ou corporativos.
"Até o momento, não acreditamos que esta atividade seja causada por qualquer vulnerabilidade, má configuração ou atividade maliciosa dentro do produto Snowflake", disse Brad Jones, CISO da Snowflake.
Ao longo de nossa investigação contínua, informamos prontamente o número limitado de clientes que acreditamos ter sido impactados.
Charles Carmakal, CTO da Mandiant Consulting, disse que a Mandiant vem auxiliando clientes comprometidos da Snowflake nas últimas semanas.
As investigações da Mandiant também indicam que os atacantes provavelmente estão utilizando credenciais roubadas por malware de roubo de informações para acessar os inquilinos Snowflake das vítimas e roubar dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...