Neiman Marcus confirma ataque
26 de Junho de 2024

A rede de lojas de luxo Neiman Marcus confirmou que sofreu uma violação de dados após hackers tentarem vender o banco de dados da empresa, roubado em ataques recentes de roubo de dados do Snowflake.

Em uma notificação de violação de dados enviada ao Office of the Maine Attorney General, a empresa informa que a violação afetou 64.472 pessoas.

"Em maio de 2024, descobrimos que, entre abril e maio de 2024, uma terceira parte não autorizada obteve acesso a uma plataforma de banco de dados utilizada pelo Neiman Marcus Group.
Com base em nossa investigação, a terceira parte não autorizada obteve certas informações pessoais armazenadas na plataforma de banco de dados," alerta a Neiman Marcus em uma notificação de violação de dados.

Os tipos de informações pessoais afetadas variaram por indivíduo e incluíram informações como nome, dados de contato, data de nascimento e número(s) de cartão presente da Neiman Marcus ou Bergdorf Goodman (sem os PINs dos cartões presente).

A Neiman Marcus informou que desativou o acesso à plataforma de banco de dados quando a violação foi detectada, investigou com especialistas em cibersegurança e notificou as autoridades policiais.

Embora os números dos cartões presente da Neiman Marcus e Bergdorf Goodman tenham sido expostos na violação, os dados não incluíam PINs, portanto, os cartões presente ainda devem ser válidos.

Em uma declaração, a Neiman Marcus confirmou que os dados foram roubados de sua conta Snowflake.

"O Neiman Marcus Group (NMG) soube recentemente que uma parte não autorizada obteve acesso a uma plataforma de banco de dados em nuvem usada pelo NMG, fornecida por uma terceira parte, Snowflake," informou o Grupo Neiman Marcus.

As notificações de violação de dados vêm após um ator de ameaça chamado "Sp1d3r" colocar os dados da Neiman Marcus à venda em um fórum de hacking por $150.000, conforme compartilhado primeiro pela HackManac.

Esse ator de ameaça está por trás da venda de dados de várias empresas violadas nos recentes ataques de roubo de dados do Snowflake.

Embora o ator de ameaça não tenha mencionado Snowflake na postagem, ele incluiu "Raped Flake,", que faz referência a uma ferramenta personalizada de mesmo nome criada pelos atores de ameaça para roubar dados da plataforma de banco de dados.

Segundo o ator de ameaça, os dados roubados incluíram o que a Neiman Marcus compartilhou, além dos últimos quatro dígitos dos números de segurança social, transações de clientes, emails de clientes, registros de compras, dados de funcionários e milhões de números de cartões presente.

O ator de ameaça afirma ter tentado extorquir a empresa antes da postagem no fórum, declarando que a empresa recusou-se a pagar uma demanda de extorsão.

No entanto, logo após a postagem ser feita no fórum, ela foi retirada junto com a amostra de dados, indicando que a empresa pode ter começado a negociar com os atores de ameaça.

Uma investigação conjunta da SnowFlake, Mandiant e CrowdStrike revelou que um ator de ameaça, rastreado como UNC5537, usou credenciais de cliente roubadas para mirar em pelo menos 165 organizações que não configuraram a proteção de autenticação multifator em suas contas.

A Mandiant também ligou os ataques ao Snowflake a um ator de ameaça com motivação financeira rastreado como UNC5537 desde maio de 2024.

Esse ator de ameaça é conhecido por violar organizações, roubar dados e tentar extorquir empresas a pagar um resgate para que os dados não sejam publicados ou vazados para outros atores de ameaça.

Para violar contas Snowflake, o ator de ameaça utilizou credenciais roubadas por infecções de malware informativo, datando de 2020.

"As contas afetadas não estavam configuradas com autenticação multifator ativada, o que significa que a autenticação bem-sucedida requeria apenas um nome de usuário e senha válidos," disse a Mandiant.

As credenciais identificadas na saída de malware infostealer ainda eram válidas, em alguns casos anos depois de terem sido roubadas, e não haviam sido alteradas ou atualizadas.

As instâncias de cliente Snowflake afetadas não tinham listas de permissões de rede configuradas para permitir acesso apenas de locais confiáveis.

A Snowflake e a Mandiant já notificaram cerca de 165 organizações potencialmente expostas a esses ataques em andamento.

Violações recentes vinculadas a esses ataques incluem Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified e Pure Storage.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...