Lüks Perakendeci Neiman Marcus Kar Tanesi İhlalinden Acı Çekti

Özel bir şirket olan Neiman Marcus Group, bir veri ihlali bildiriminde, yaklaşık 65.000 alışverişçiye bir saldırganın “kişisel bilgilerini” çaldığını bildirdiğini söyledi.

Dallas merkezli Neiman Marcus Group, 36 Neiman Marcus mağazası, iki Bergdorf Goodman mağazası ve beş Last Call outlet mağazasının yanı sıra çevrimiçi sitelerden oluşuyor.

Neiman Marcus Group şirket sözcüsü Information Security Media Group’a şunları söyledi: “Neiman Marcus Group yakın zamanda, NMG tarafından kullanılan ve üçüncü bir taraf olan Snowflake tarafından sağlanan bir bulut veritabanı platformuna yetkisiz bir tarafın erişim sağladığını öğrendi.”

Şirket, ihlalin 14 Nisan’da başladığını ve 24 Mayıs’ta belirgin hale geldiğini söyledi. Bu süre zarfında saldırgan, müşterilerin adı, iletişim bilgileri, doğum tarihi ve hediye kartı numaraları gibi verileri, bunları kullanmak için gereken PIN kodları olmadan çaldı. Şirket, hediye kartlarının geçerli kaldığını söyledi.

Sözcü, “Olayı keşfettikten hemen sonra NMG, platforma erişimi devre dışı bırakmak da dahil olmak üzere olayı kontrol altına almak için adımlar attı” dedi ve şirketin soruşturmaya yardımcı olması için dışarıdan siber güvenlik danışmanları getirdiğini de sözlerine ekledi.

NMG, 2021’den beri bir grup yatırım firmasının mülkiyetindedir: Pacific Investment Management, diğer adıyla PIMCO; Altıncı Cadde Ortakları; ve Davidson Kempner Sermaye Yönetimi. The Wall Street Journal’ın haberine göre NMG, 2023’ün sonlarında rakip lüks perakendeci Saks Fifth Avenue’nun 3 milyar dolarlık birleşme teklifinden vazgeçti.

Bu, Neiman Marcus’un uğradığı ilk veri ihlali değil. Mayıs 2020’de perakendeci 4,6 milyon çevrimiçi müşteriye, bilgisayar korsanlarının kullanıcı adlarını, şifreleri, güvenlik sorularını ve ödeme kartı ayrıntılarını çaldığını bildirdi.

Kar Tanesi İhlalinin Kurbanları

Snowflake hesaplarının ihlali yaklaşık 165 müşteri hesabını etkilemiş görünüyor. Çoğunun adı henüz kamuya açıklanmamış olsa da bilinen diğer kurbanlar arasında Live Nation Entertainment’ın Ticketmaster’ı, Santander Bank, otomotiv parça tedarikçisi Advance Auto Parts ve Los Angeles Birleşik Okul Bölgesi yer alıyor (bkz: Snowflake Veri İhlalinin Kurbanları Fidye Talepleri Aldı).

Snowflake hesaplarına yönelik ihlallerle ilgili ilk kamuoyu bildirimleri, Ticketmaster’ın verilerinin suç sitesi BreachForums’da satışa sunulmasının ardından 30 Mayıs’ta geldi.

Snowflake, CrowdStrike ve Mandiant ile yaptığı ortak açıklamada, saldırganların, yöneticilerin çok faktörlü kimlik doğrulamayı etkinleştirmediği Snowflake hesaplarına sızmak için çalıntı kullanıcı adı ve şifre çiftlerini kullandığını söyledi. “Bu kampanyanın bir parçası olarak, tehdit aktörleri daha önce satın alınan veya bilgi hırsızlığı yapan kötü amaçlı yazılımlar yoluyla elde edilen kimlik bilgilerinden yararlandı” dediler (bkz: Uyarı: Bilgi Hırsızları Depolanan Tarayıcı Kimlik Bilgilerini Hedef Alır).

Ortak açıklamada, saldırganların yalnızca hesap sahiplerinin çok faktörlü kimlik doğrulamayla korumadığı Snowflake hesaplarını ihlal ettiği ve Snowflake’in bunu yalnızca Cisco Duo’nun kendi kendini yönettiği bir sürümü aracılığıyla sunduğu belirtiliyor. Snowflake daha sonra kuruluşlara Snowflake kullanıcılarının MFA yeteneklerine erişmesini sağlayacak daha fazla yol sundu ve yöneticilerin MFA’yı zorunlu hale getirmesine izin vermeyi planladığını söyledi.

Mandiant, kampanyayı ilk kez Nisan ayında tespit ettiğinden bu yana, UNC5537 kod adlı Snowflake hedefli saldırılara karışan suç grubunun takip edildiğini söyledi. Firma yakın zamanda UNC5537’nin “mağdurlara şantaj yapmak için çalınan müşteri verilerini kullandığını ve aynı zamanda verileri siber suç forumlarında satmaya çalıştığını” bildirdi.

Satış İlanı Verilen Çalıntı Veriler

Neiman Marcus’un ihlali kamuya açıklamasından saatler sonra, BreachForums veri sızıntısı sitesinde “Sp1d3r” kullanıcı adı bulunan bir kullanıcı, perakendecinin verilerini satışa sundu. Sp1d3r, verileri sızdırma sözü karşılığında perakendeciyi fidye ödemeye zorlama girişiminin başarısız olduğunu söyledi.

Sp1d3r’ün BreachForums reklamı tutarsızlıklar içeriyor. Reklamda, çalınan verilerin müşterilerin Sosyal Güvenlik numaralarının son dört hanesini içerdiğini iddia etmenin ötesinde, sızdırılan verilerin “70 milyon işlemin” ayrıntıları da dahil olmak üzere 180 milyon kullanıcıya ait olduğu belirtiliyor (bkz.: Fidye Yazılımı Grupları: Bize Güvenin. Yapma.).

Reklamda ayrıca, Mandiant tarafından “Frostbite” olarak takip edilen “rapeflake” adı da yer alıyor; saldırganlar, ihlal edilen Snowflake hesaplarından en azından bazılarına ilk erişim elde etmek için kullandıkları kötü amaçlı bir yardımcı program. Yardımcı program, Snowflake’in web tabanlı kullanıcı arayüzünü ve SnowSQL komut satırı arayüz aracını hedefleyebilen SnowSight’ı hedefliyor.

Sp1d3r, Advance Auto Parts ve Ticketmaster da dahil olmak üzere çok sayıda Snowflake kurbanından çalınan verileri satıyor. Bleeping Computer’a, grubunun Snowflake kurbanlarından en azından bazılarının fidye ödediğini iddia etti.

Sp1d3r’ün çalınan verilerin reklamını birisinin satın alabileceği için mi yoksa geçmiş, şimdiki ve gelecekteki kurbanlara fidye ödemeleri için baskı yapmaya çalışmak için mi yaptığı belli değil.

Snowflake kampanyasının bir diğer kurbanı da Los Angeles Birleşik Okul Bölgesi. 6 Haziran’da çalınan LAUSD verilerinin satışa sunulmasının ardından bölge, bir saldırganın “öğrenci ve çalışan verilerini” çaldığı konusunda uyardı. 18 Haziran’da Sp1d3r, öğrencilerin adları, adresleri, notları ve diğer ayrıntıları da dahil olmak üzere satılık bilgileri listelemeye başladıktan sonra LAUSD, Bleeping Computer’a bilgilerin Snowflake hesabından çalındığını söyledi. Sp1d3r daha sonra çalınan verileri ücretsiz olarak indirmeye sundu.