Lüks perakendeci Neiman Marcus, bilgisayar korsanlarının son Snowflake veri hırsızlığı saldırılarında çalınan şirketin veritabanını satmaya çalışmasının ardından veri ihlaline uğradığını doğruladı.
Maine Başsavcılığı’na sunulan bir veri ihlali bildiriminde şirket, ihlalin 64.472 kişiyi etkilediğini söylüyor.
“Mayıs 2024’te, Nisan ve Mayıs 2024 arasında yetkisiz bir üçüncü tarafın Neiman Marcus Group tarafından kullanılan bir veritabanı platformuna erişim sağladığını öğrendik. Araştırmamıza göre yetkisiz üçüncü taraf, veritabanı platformunda saklanan belirli kişisel bilgileri ele geçirdi. ” Neiman Marcus’u veri ihlali bildiriminde uyarıyor.
“Etkilenen kişisel bilgi türleri kişiye göre değişiyordu ve isim, iletişim bilgileri, doğum tarihi ve Neiman Marcus veya Bergdorf Goodman hediye kartı numarası/numaraları (hediye kartı PIN’leri olmadan) gibi bilgileri içeriyordu.”
Neiman Marcus, ihlal tespit edildiğinde veritabanı platformuna erişimi devre dışı bıraktıklarını, siber güvenlik uzmanlarıyla araştırdıklarını ve kolluk kuvvetlerine bilgi verdiklerini söyledi.
İhlalde Neiman Marcus ve Bergdorf Goodman’ın hediye kartı numaraları açığa çıkarılsa da veriler PIN’leri içermiyordu, dolayısıyla hediye kartlarının hâlâ geçerli olması gerekiyor.
BleepingComputer’a yaptığı açıklamada Neiman Marcus, verilerin Snowflake hesaplarından çalındığını doğruladı.
Neiman Marcus Grubu BleepingComputer’a şunları söyledi: “Neiman Marcus Grubu (NMG), kısa bir süre önce, NMG tarafından kullanılan ve Snowflake adlı üçüncü bir taraf tarafından sağlanan bir bulut veritabanı platformuna yetkisiz bir tarafın erişim sağladığını öğrendi.”
Snowflake veri hırsızlığı saldırılarıyla bağlantılı
Veri ihlali bildirimleri, “Sp1d3r” adlı bir tehdit aktörünün, ilk olarak HackManac tarafından paylaşıldığı gibi, Neiman Marcus’un verilerini bir bilgisayar korsanlığı forumunda 150.000 $ karşılığında satışa sunmasının ardından geldi.
Bu tehdit aktörü, son Snowflake veri hırsızlığı saldırılarında ihlal edilen çok sayıda şirketin verilerinin satışının arkasında yer alıyor.
Tehdit aktörü, gönderide Snowflake’ten bahsetmese de, tehdit aktörlerinin veri tabanı platformundan veri çalmak için oluşturdukları aynı adlı özel bir araca gönderme yapan “Raped Flake” ifadesini ekledi.
Kaynak: HacManac
Tehdit aktörüne göre, çalınan veriler Neiman Marcus’un paylaştığı bilgilerin yanı sıra sosyal güvenlik numaralarının son dört hanesini, müşteri işlemlerini, müşteri e-postalarını, alışveriş kayıtlarını, çalışan verilerini ve milyonlarca hediye kartı numarasını içeriyordu.
Tehdit aktörü, forum paylaşımından önce şirketin şantaj talebini ödemeyi reddettiğini belirterek şirkete şantaj girişiminde bulunduğunu iddia ediyor.
Ancak gönderi forumda yapıldıktan kısa bir süre sonra veri örneğiyle birlikte kaldırıldı; bu da şirketin tehdit aktörleriyle pazarlık yapmaya başlamış olabileceğini gösteriyor.
Snowflake saldırılarından muhtemelen 165 kuruluş etkilendi
SnowFlake, Mandiant ve CrowdStrike tarafından yapılan ortak araştırma, UNC5537 olarak takip edilen bir tehdit aktörünün, hesaplarında çok faktörlü kimlik doğrulama koruması yapılandırmamış en az 165 kuruluşu hedef almak için çalıntı müşteri kimlik bilgilerini kullandığını ortaya çıkardı.
Mandiant ayrıca Snowflake saldırılarını, Mayıs 2024’ten bu yana UNC5537 olarak takip edilen mali motivasyonlu bir tehdit aktörüne bağladı. Bu tehdit aktörü, kuruluşlara ihlaller yapması, verileri çalması ve şirketlere, verilerin yayınlanmaması veya sızdırılmaması için fidye ödemeleri yönünde şantaj yapma girişiminde bulunmasıyla tanınıyor. diğer tehdit aktörleri.
Mandiant, UNC5537 hakkında kamuya çok fazla bilgi açıklamamış olsa da BleepingComputer, onların aynı web sitelerini, Telegram ve Discord sunucularını sıklıkla ziyaret eden bir tehdit aktörleri topluluğunun parçası olduklarını öğrendi.
Tehdit aktörü, Snowflake hesaplarını ihlal etmek için 2020’den bu yana bilgi çalan kötü amaçlı yazılım bulaşmaları tarafından çalınan kimlik bilgilerini kullandı.
Mandiant, “Etkilenen hesaplar çok faktörlü kimlik doğrulama etkin olacak şekilde yapılandırılmadı, bu da başarılı kimlik doğrulamanın yalnızca geçerli bir kullanıcı adı ve şifre gerektirdiği anlamına geliyor” dedi.
“Bilgi hırsızı kötü amaçlı yazılım çıktısında tanımlanan kimlik bilgileri, bazı durumlarda çalındıktan yıllar sonra bile hâlâ geçerliydi ve değiştirilmedi veya güncellenmedi. Etkilenen Snowflake müşteri örneklerinde, yalnızca güvenilir konumlardan erişime izin verecek ağ izin listeleri yoktu.”
Kaynak: Mandiant
Snowflake ve Mandiant, devam eden bu saldırılara maruz kalma potansiyeli olan yaklaşık 165 kuruluşu halihazırda bilgilendirdi.
Bu saldırılarla bağlantılı son ihlaller arasında Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified ve Pure Storage yer alıyor.