A rede de lojas de luxo Neiman Marcus confirmou que sofreu uma violação de dados após hackers tentarem vender o banco de dados da empresa, roubado em ataques recentes de roubo de dados do Snowflake.
Em uma notificação de violação de dados enviada ao Office of the Maine Attorney General, a empresa informa que a violação afetou 64.472 pessoas.
"Em maio de 2024, descobrimos que, entre abril e maio de 2024, uma terceira parte não autorizada obteve acesso a uma plataforma de banco de dados utilizada pelo Neiman Marcus Group.
Com base em nossa investigação, a terceira parte não autorizada obteve certas informações pessoais armazenadas na plataforma de banco de dados," alerta a Neiman Marcus em uma notificação de violação de dados.
Os tipos de informações pessoais afetadas variaram por indivíduo e incluíram informações como nome, dados de contato, data de nascimento e número(s) de cartão presente da Neiman Marcus ou Bergdorf Goodman (sem os PINs dos cartões presente).
A Neiman Marcus informou que desativou o acesso à plataforma de banco de dados quando a violação foi detectada, investigou com especialistas em cibersegurança e notificou as autoridades policiais.
Embora os números dos cartões presente da Neiman Marcus e Bergdorf Goodman tenham sido expostos na violação, os dados não incluíam PINs, portanto, os cartões presente ainda devem ser válidos.
Em uma declaração, a Neiman Marcus confirmou que os dados foram roubados de sua conta Snowflake.
"O Neiman Marcus Group (NMG) soube recentemente que uma parte não autorizada obteve acesso a uma plataforma de banco de dados em nuvem usada pelo NMG, fornecida por uma terceira parte, Snowflake," informou o Grupo Neiman Marcus.
As notificações de violação de dados vêm após um ator de ameaça chamado "Sp1d3r" colocar os dados da Neiman Marcus à venda em um fórum de hacking por $150.000, conforme compartilhado primeiro pela HackManac.
Esse ator de ameaça está por trás da venda de dados de várias empresas violadas nos recentes ataques de roubo de dados do Snowflake.
Embora o ator de ameaça não tenha mencionado Snowflake na postagem, ele incluiu "Raped Flake,", que faz referência a uma ferramenta personalizada de mesmo nome criada pelos atores de ameaça para roubar dados da plataforma de banco de dados.
Segundo o ator de ameaça, os dados roubados incluíram o que a Neiman Marcus compartilhou, além dos últimos quatro dígitos dos números de segurança social, transações de clientes, emails de clientes, registros de compras, dados de funcionários e milhões de números de cartões presente.
O ator de ameaça afirma ter tentado extorquir a empresa antes da postagem no fórum, declarando que a empresa recusou-se a pagar uma demanda de extorsão.
No entanto, logo após a postagem ser feita no fórum, ela foi retirada junto com a amostra de dados, indicando que a empresa pode ter começado a negociar com os atores de ameaça.
Uma investigação conjunta da SnowFlake, Mandiant e CrowdStrike revelou que um ator de ameaça, rastreado como UNC5537, usou credenciais de cliente roubadas para mirar em pelo menos 165 organizações que não configuraram a proteção de autenticação multifator em suas contas.
A Mandiant também ligou os ataques ao Snowflake a um ator de ameaça com motivação financeira rastreado como UNC5537 desde maio de 2024.
Esse ator de ameaça é conhecido por violar organizações, roubar dados e tentar extorquir empresas a pagar um resgate para que os dados não sejam publicados ou vazados para outros atores de ameaça.
Para violar contas Snowflake, o ator de ameaça utilizou credenciais roubadas por infecções de malware informativo, datando de 2020.
"As contas afetadas não estavam configuradas com autenticação multifator ativada, o que significa que a autenticação bem-sucedida requeria apenas um nome de usuário e senha válidos," disse a Mandiant.
As credenciais identificadas na saída de malware infostealer ainda eram válidas, em alguns casos anos depois de terem sido roubadas, e não haviam sido alteradas ou atualizadas.
As instâncias de cliente Snowflake afetadas não tinham listas de permissões de rede configuradas para permitir acesso apenas de locais confiáveis.
A Snowflake e a Mandiant já notificaram cerca de 165 organizações potencialmente expostas a esses ataques em andamento.
Violações recentes vinculadas a esses ataques incluem Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified e Pure Storage.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...