Ciberseguridad 360 | Neiman Marcus confirma filtración de datos por incidente de seguridad en Snowflake

El minorista de lujo Neiman Marcus ha confirmado que ha sufrido una violaci�n de datos despu�s de que unos piratas inform�ticos intentaran vender la base de datos de la empresa robada en los recientes ataques de robo de datos Snowflake.

En una notificaci�n de violaci�n de datos presentada ante la Oficina del Fiscal General de Maine, la empresa afirma que la violaci�n afect� a 64.472 personas.

"En mayo de 2024, supimos que, entre abril y mayo de 2024, un tercero no autorizado obtuvo acceso a una plataforma de base de datos utilizada por Neiman Marcus Group. Bas�ndonos en nuestra investigaci�n, el tercero no autorizado obtuvo cierta informaci�n personal almacenada en la plataforma de base de datos", advierte Neiman Marcus en una notificaci�n de violaci�n de datos.

"Los tipos de informaci�n personal afectados variaron seg�n el individuo, e incluyeron informaci�n como nombre, informaci�n de contacto, fecha de nacimiento y n�mero(s) de tarjeta(s) de regalo de Neiman Marcus o Bergdorf Goodman (sin PIN de tarjeta de regalo)."

Neiman Marcus dijo que desactiv� el acceso a la plataforma de base de datos cuando se detect� la brecha, investig� con expertos en ciberseguridad y notific� a las fuerzas del orden.

Aunque los n�meros de las tarjetas regalo de Neiman Marcus y Bergdorf Goodman quedaron expuestos en la brecha, los datos no inclu�an PIN, por lo que las tarjetas regalo deber�an seguir siendo v�lidas.

En una declaraci�n, Neiman Marcus confirm� que los datos hab�an sido robados de su cuenta Snowflake.

"Neiman Marcus Group (NMG) se enter� recientemente de que una parte no autorizada obtuvo acceso a una plataforma de base de datos en la nube utilizada por NMG que es proporcionada por un tercero, Snowflake", dijo el Grupo Neiman Marcus.

Vinculado a los ataques de robo de datos de Snowflake

Las notificaciones de violaci�n de datos se producen despu�s de que un actor de amenazas llamado "Sp1d3r" pusiera a la venta los datos de Neiman Marcus en un foro de hacking por 150.000 d�lares, como comparti� por primera vez HackManac.

Este actor de amenazas est� detr�s de la venta de datos de numerosas empresas violadas en los recientes ataques de robo de datos Snowflake.

Aunque el actor de la amenaza no mencion� Snowflake en el post, incluy� "Raped Flake", que hace referencia a una herramienta personalizada del mismo nombre que los actores de la amenaza crearon para robar datos de la plataforma de base de datos.

Datos de Neiman Marcus a la venta en un foro de hacking

Fuente: HacManac

Seg�n el autor de la amenaza, los datos robados inclu�an los que Neiman Marcus hab�a compartido, adem�s de los cuatro �ltimos d�gitos de los n�meros de la seguridad social, transacciones de clientes, correos electr�nicos de clientes, registros de compras, datos de empleados y millones de n�meros de tarjetas regalo.

El autor de la amenaza afirma haber intentado extorsionar a la empresa antes de la publicaci�n en el foro, afirmando que la empresa se neg� a pagar una demanda de extorsi�n.

Sin embargo, poco despu�s de la publicaci�n en el foro, se retir� junto con la muestra de datos, lo que indica que la empresa podr�a haber empezado a negociar con los autores de la amenaza.

165 organizaciones probablemente afectadas por los ataques de Snowflake

Una investigaci�n conjunta de SnowFlake, Mandiant y CrowdStrike revel� que un agente de amenazas, identificado como UNC5537, utiliz� credenciales de clientes robadas para atacar al menos a 165 organizaciones que no hab�an configurado la protecci�n de autenticaci�n multifactor en sus cuentas.

Mandiant tambi�n vincul� los ataques Snowflake a un actor de amenazas con motivaciones financieras rastreado como UNC5537 desde mayo de 2024. Este actor de amenazas es conocido por vulnerar organizaciones, robar datos e intentar extorsionar a las empresas para que paguen un rescate para que los datos no se publiquen ni se filtren a otros actores de amenazas.

Aunque Mandiant no ha revelado p�blicamente mucha informaci�n sobre UNC5537, se ha averiguado que forman parte de una comunidad de actores de amenazas que visitan con frecuencia los mismos sitios web y servidores de Telegram y Discord.

Para violar las cuentas de Snowflake, el actor de amenaza utiliz� credenciales robadas por infecciones de malware de robo de informaci�n que se remontan a 2020.

"Las cuentas impactadas no estaban configuradas con autenticaci�n multifactor habilitada, lo que significa que la autenticaci�n exitosa solo requer�a un nombre de usuario y una contrase�a v�lidos", dijo Mandiant.

"Las credenciales identificadas en la salida del malware infostealer segu�an siendo v�lidas, en algunos casos a�os despu�s de haber sido robadas, y no hab�an sido rotadas ni actualizadas". Las instancias del cliente Snowflake afectadas no ten�an listas de permisos de red para permitir �nicamente el acceso desde ubicaciones de confianza."

UNC5537 Cronolog�a del ataque a Snowflake

Fuente: Mandiant

Snowflake y Mandiant ya han notificado a unas 165 organizaciones potencialmente expuestas a estos ataques en curso.

Entre las violaciones recientes vinculadas a estos ataques se encuentran Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified y Pure Storage.

Fuente: bleepingcomputer