Lüks perakendeci Neiman Marcus, bilgisayar korsanlarının son kar tanesi veri hırsızlığı saldırılarında çalınan veritabanını satmaya çalıştıktan sonra veri ihlali yaşadığını doğruladı.
Maine Başsavcılığı'na açılan bir veri ihlali bildiriminde şirket, ihlalin 64.472 kişiyi etkilediğini söylüyor.
"Mayıs 2024'te, Nisan ve Mayıs 2024 arasında, yetkisiz bir üçüncü tarafın Neiman Marcus Grubu tarafından kullanılan bir veritabanı platformuna erişim kazandığını öğrendik. Soruşturmamıza dayanarak, yetkisiz üçüncü taraf, veritabanı platformunda depolanan belirli kişisel bilgileri elde etti. "Neiman Marcus'u bir veri ihlali bildiriminde uyarıyor.
"Etkilenen kişisel bilgi türleri bireye göre değişiyordu ve isim, iletişim bilgileri, doğum tarihi ve Neiman Marcus veya Bergdorf Goodman Hediye Kartı Numaraları (hediye kartı pimleri olmadan) gibi bilgileri içeriyordu."
Neiman Marcus, ihlal tespit edildiğinde, siber güvenlik uzmanlarıyla soruşturulduğunda veritabanı platformuna erişimi devre dışı bıraktıklarını ve kolluk kuvvetlerini bilgilendirdiklerini söyledi.
Neiman Marcus ve Bergdorf Goodman için hediye kartı numaraları ihlalde maruz kalırken, veriler pimleri içermiyordu, bu nedenle hediye kartları hala geçerli olmalı.
BleepingComputer'a yaptığı açıklamada, Neiman Marcus verilerin kar tanesi hesaplarından çalındığını doğruladı.
Neiman Marcus Group, BleepingComputer'a verdiği demeçte, "Neiman Marcus Group (NMG) kısa süre önce, yetkisiz bir partinin NMG tarafından üçüncü bir taraf tarafından sağlanan bir bulut veritabanı platformuna erişim sağladığını öğrendi."
Veri ihlali bildirimleri, "SP1D3R" adlı bir tehdit oyuncusu, Neiman Marcus'un verilerini Hackmanac tarafından ilk paylaşıldığı gibi 150.000 dolara bir hack forumunda satışa sunduktan sonra geliyor.
Bu tehdit oyuncusu, son kar tanesi veri hırsızlığı saldırılarında ihlal edilen çok sayıda şirket için veri satışının arkasında.
Tehdit oyuncusu görevdeki kar tanesi bahsetmese de, veritabanı platformundan veri çalmak için oluşturulan tehdit aktörlerinin aynı adlı özel bir araca atıfta bulunan "Raped Flake" i içeriyorlar.
Tehdit oyuncusuna göre, çalınan veriler Neiman Marcus'un paylaştığı şeyi, ayrıca Sosyal Güvenlik numaralarının, müşteri işlemlerinin, müşteri e -postalarının, alışveriş kayıtlarının, çalışan verilerinin ve milyonlarca hediye kartı numarasının son dört basamağını içeriyordu.
Tehdit oyuncusu, şirketin bir gasp talebi ödemeyi reddettiğini belirterek forum gönderisinden önce şirketi zorlamaya çalıştığını iddia ediyor.
Ancak, forumda görevin yapıldıktan kısa bir süre sonra, daha sonra veri örneği ile birlikte kaldırıldı, bu da şirketin tehdit aktörleriyle müzakere etmeye başlamış olabileceğini gösterdi.
Snowflake, Mantiant ve Crowdstrike tarafından yapılan ortak bir soruşturma, UNC5537 olarak izlenen bir tehdit oyuncunun, hesaplarında çok faktörlü kimlik doğrulama koruması yapılandırmayan en az 165 kuruluşu hedeflemek için çalıntı müşteri kimlik bilgilerini kullandığını ortaya koydu.
Mantiant ayrıca kar tanesi saldırılarını Mayıs 2024'ten bu yana UNC5537 olarak izlenen finansal olarak motive edilmiş bir tehdit aktörüne bağladı. Bu tehdit oyuncusu, kuruluşları ihlal etmek, verileri çalmak ve verilerin yayınlanmaması veya sızdırılmaması için bir fidye ödemeye çalışmakla bilinir. Diğer tehdit aktörleri.
Mantiant, UNC5537 hakkında çok fazla bilgi açıklamamış olsa da, BleepingComputer aynı web sitelerini, telgrafı ve anlaşmazlık sunucularını sık sık ziyaret eden bir tehdit aktör topluluğunun parçası olduklarını öğrendi.
Kar tanesi hesaplarını ihlal etmek için, tehdit oyuncusu 2020 yılına dayanan bilgi çalan kötü amaçlı yazılım enfeksiyonları tarafından çalınan kimlik bilgilerini kullandı.
Mantiant, "Etkilenen hesaplar çok faktörlü kimlik doğrulama etkinleştirilmesiyle yapılandırılmadı, yani başarılı kimlik doğrulama sadece geçerli bir kullanıcı adı ve şifre gerektirdi." Dedi.
"Infostealer kötü amaçlı yazılım çıktılarında tanımlanan kimlik bilgileri, bazı durumlarda çalındıktan ve döndürüldükten veya güncellenmedikten sonra hala geçerlidir. Etkilenen Snowflake müşteri örneklerinin, yalnızca güvenilir yerlerden erişime izin vermek için ağlara izin vermemiştir."
Snowflake ve Mantiant, potansiyel olarak bu devam eden saldırılara maruz kalan yaklaşık 165 kuruluşu bilgilendirdi.
Bu saldırılarla bağlantılı son ihlaller arasında Santander, Ticketmaster, Quotewizard/Lendingtree, Advance Auto Parts, Los Angeles Unified ve Pure Storage yer alıyor.
İleri Otomatik Parçalar Veri ihlali maruz kalan çalışan bilgilerini onaylar
Cooler Master, veri ihlalinde çalınan müşteri bilgilerini onaylar
Dell veri ihlali konusunda uyarıyor, 49 milyon müşterinin etkilediği iddia edildi
AMD, hack forumunda satılık verilerden sonra ihlali araştırıyor
Cylance, 'üçüncü taraf' platformuna bağlı veri ihlalini teyit eder
Kaynak: Bleeping Computer