Lüks moda şirketi Kering, tehdit oyuncusu Shiny Hunters’ın Gucci, Balenciaga ve Alexander McQueen için özel müşteri kayıtlarına eriştiği bir veri açığa vurma olayını doğruladı.
Haziran ayında tespit edilen ancak Nisan ayında meydana gelen ihlal, tahmini 7,4 milyon benzersiz e -posta adresi için kişisel olarak tanımlanabilir bilgileri (PII) ortaya koydu.
Key Takeaways
1. PII and spend data of ~7.4 M luxury-brand customers stolen.
2. High-value shoppers face elevated phishing and SIM-swap risks.
3. Kering notified regulators/customers, refused ransom.
Masif Veri Defiltrasyonu
Kering’in açıklamasına göre, saldırgan, Salesforce SSO portallarını hedefleyen bir kimlik avı kampanyası aracılığıyla çok hasat edilen uzlaşmış dahili kimlik bilgileri aracılığıyla geçici olarak yetkisiz erişim elde etti.
Çalınan veri kümesi şunları içerir:
- E -posta
- Ad Soyad
- Telefon numarası
- Gönderi Adresi
- Toplam Satış
Kredi kartı numaraları veya banka hesabı detayları gibi PCI-DSS tarafından düzenlenen hiçbir veri açıklanmadı. Bunun yerine, dosyalar arasında ad, e -posta adresleri, telefon numaraları, gönderim adresleri ve her müşterinin kümülatif harcamalarını gösteren bir “toplam satış” alanı bulunur.
Kavram kanıtı örneğinin analizi, birey başına 10.000 $ ila 86.000 $ arasında değişen harcama katmanlarını ortaya çıkardı ve hedeflenen balina avcılığı ve mızrak aktı konusundaki endişeleri artırdı.
Kering, GDPR Madde 33 uyarınca ilgili veri koruma yetkililerini bilgilendirmiş ve doğrudan etkilenen müşterilerle e -posta yoluyla iletişim kurmuştur.
AB düzenlemeleri uyarınca, olayı veri konuları için yüksek bir risk oluşturursa firmaların yalnızca kamu ihlallerini ifşa etmesi gerekir – Kering doğrudan bildirim yükümlülüklerinin yerine getirilmesini sürdürmektedir.
Parlak avcıların fidye talepleri
BBC, parlak avcılar olarak kendini tanımlayan saldırganın, Haziran ayında Telegram üzerinden başlayarak Bitcoin’de (BTC) bir fidye müzakere ettiğini iddia ettiğini bildirdi.
Kering ücretli müzakereleri reddeder ve fidye ödemelerini reddetmek için kolluk rehberine bağlılığı doğrular.
Paralel olarak, Google’ın Tehdit Analiz Grubu, UNC6040 olarak izlenen benzer bir kampanyayı parlak avcılara bağlar ve çalınan API jetonlarının kullanımı ve OAuth kapsamlarının diğer büyük firmalardan gelen kimlik bilgilerini hasat etmek için kötüye kullanır.
Bu desen, aşağıdakileri içeren gelişen TTP’lerin (taktikler, teknikler ve prosedürler) altını çizer:
- Sosyal Mühendislik üzerinden Kimlik Bilgisi Hırsızlığı
- Üçüncü taraf CRM entegrasyonlarının kötüye kullanılması
- Şifreli kanallar aracılığıyla pesfiltrasyon
Güvenlik uzmanları, müşteri harcama profilleriyle birlikte sızan PII’nin, özellikle yüksek değerli hedeflere karşı hesap devralma veya SIM değiştirme gibi ikincil müdahaleleri kolaylaştırabileceği konusunda uyarıyor.
Mağdurlar dolandırıcıların çalıntı PII kullanarak meşru organizasyonları taklit edebileceğini varsaymalıdır. Önerilen hafifletmeler şunları içerir:
- Tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
- Benzersiz, rastgele oluşturulan şifreler kullanın (örn. Üç rastgele kelimenin parolaları).
- Kredi raporlarını izleyin ve şüpheli etkinlik için uyarılar ayarlayın.
NCSC, parolaların sıfırlanmasını ve tüm e-posta ve e-ticaret profilleri için hesap kurtarma ayarlarının gözden geçirilmesini tavsiye eder. İstenmeyen çağrılara veya acil eylem talep eden e-postalara karşı uyanık kalan sahtekarlığı engellemeye yardımcı olabilir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free