Le détaillant de luxe Neiman Marcus a confirmé avoir subi une violation de données après que des pirates ont tenté de vendre la base de données de l'entreprise volée lors des récentes attaques de vol de données Snowflake.
Dans une notification de violation de données déposée auprès du bureau du procureur général du Maine, la société indique que la violation a touché 64 472 personnes.
« En mai 2024, nous avons appris qu'entre avril et mai 2024, un tiers non autorisé a eu accès à une plateforme de base de données utilisée par le groupe Neiman Marcus. Sur la base de notre enquête, le tiers non autorisé a obtenu certaines informations personnelles stockées dans la plateforme de base de données, » prévient Neiman Marcus dans une notification de violation de données.
« Les types d'informations personnelles concernées variaient selon les individus et comprenaient des informations telles que le nom, les coordonnées, la date de naissance et le(s) numéro(s) de carte-cadeau Neiman Marcus ou Bergdorf Goodman (sans code PIN de carte-cadeau). »
Neiman Marcus a déclaré qu'ils avaient désactivé l'accès à la plateforme de base de données lorsque la violation a été détectée, qu'ils avaient enquêté avec des experts en cybersécurité et qu'ils avaient informé les forces de l'ordre.
Bien que les numéros de cartes-cadeaux de Neiman Marcus et Bergdorf Goodman aient été exposés lors de la violation, les données n'incluaient pas de code PIN, les cartes-cadeaux devraient donc toujours être valides.
Dans une déclaration à BleepingComputer, Neiman Marcus a confirmé que les données avaient été volées sur leur compte Snowflake.
« Le groupe Neiman Marcus (NMG) a récemment appris qu'une partie non autorisée avait accédé à une plate-forme de base de données cloud utilisée par NMG et fournie par un tiers, Snowflake », a déclaré le groupe Neiman Marcus à BleepingComputer.
Lié aux attaques de vol de données Snowflake
Les notifications de violation de données surviennent après qu'un acteur malveillant nommé « Sp1d3r » a mis en vente les données de Neiman Marcus sur un forum de piratage pour 150 000 $, comme l'a partagé pour la première fois HackManac.
Cet acteur menaçant est à l’origine de la vente de données pour de nombreuses entreprises victimes de violations lors des récentes attaques de vol de données Snowflake.
Bien que l'acteur malveillant n'ait pas mentionné Snowflake dans le message, il a inclus « Raped Flake », qui fait référence à un outil personnalisé du même nom que les acteurs malveillants ont créé pour voler des données de la plate-forme de base de données.
Selon l'auteur de la menace, les données volées comprenaient ce que Neiman Marcus avait partagé, ainsi que les quatre derniers chiffres des numéros de sécurité sociale, les transactions des clients, les e-mails des clients, les enregistrements d'achats, les données des employés et des millions de numéros de cartes-cadeaux.
L'auteur de la menace affirme avoir tenté d'extorquer l'entreprise avant sa publication sur le forum, déclarant que l'entreprise avait refusé de payer une demande d'extorsion.
Cependant, peu de temps après que le message ait été publié sur le forum, il a été supprimé avec l'échantillon de données, indiquant que l'entreprise pourrait avoir commencé à négocier avec les acteurs malveillants.
165 organisations probablement touchées par les attaques Snowflake
Une enquête conjointe menée par SnowFlake, Mandiant et CrowdStrike a révélé qu'un acteur malveillant, identifié comme UNC5537, a utilisé les informations d'identification de clients volées pour cibler au moins 165 organisations qui n'avaient pas configuré de protection d'authentification multifacteur sur leurs comptes.
Mandiant aussi lié les attaques de Snowflake contre un acteur malveillant à motivation financière suivi sous le nom d'UNC5537 depuis mai 2024. Cet acteur malveillant est connu pour avoir violé des organisations, volé des données et tenté d'extorquer des entreprises afin qu'elles paient une rançon pour que les données ne soient pas publiées ou divulguées à d'autres acteurs malveillants. .
Bien que Mandiant n'ait pas divulgué publiquement beaucoup d'informations sur l'UNC5537, BleepingComputer a appris qu'il faisait partie d'une communauté d'acteurs malveillants qui visitent fréquemment les mêmes sites Web, serveurs Telegram et Discord.
Pour pirater les comptes Snowflake, l’acteur malveillant a utilisé des informations d’identification volées par des infections de logiciels malveillants volant des informations remontant à 2020.
« Les comptes concernés n'étaient pas configurés avec l'authentification multifacteur activée, ce qui signifie qu'une authentification réussie nécessitait uniquement un nom d'utilisateur et un mot de passe valides », a déclaré Mandiant.
« Les informations d'identification identifiées dans les résultats du malware infostealer étaient toujours valides, dans certains cas des années après leur vol, et n'avaient pas été alternées ou mises à jour. Les instances client Snowflake concernées n'avaient pas de listes d'autorisation réseau en place pour autoriser uniquement l'accès à partir d'emplacements de confiance.
Snowflake et Mandiant ont déjà notifié environ 165 organisations potentiellement exposées à ces attaques en cours.
Les violations récentes liées à ces attaques incluent Santander, Ticketmaster, Assistant de devis/Arbre de prêtAdvance Auto Parts, Los Angeles Unified et Pure Storage.
