Les acteurs de la menace affirment vendre 3 To de données d’Advance Auto Parts, l’un des principaux fournisseurs de pièces de rechange automobiles, volées après avoir violé le compte Snowflake de l’entreprise.
Advance exploite 4 777 magasins et 320 succursales Worldpac et dessert 1 152 magasins Carquest indépendants aux États-Unis, au Canada, à Porto Rico, aux Îles Vierges américaines, au Mexique et dans diverses îles des Caraïbes.
Comme l’acteur de la menace (utilisant le handle Sp1d3r) l’a révélé aujourd’hui, l’archive massive de données volées dans l’environnement de stockage cloud Advances Snowflake comprend:
- 380 millions de profils clients (nom, e-mail, mobile, téléphone, adresse, etc.)
- 140 millions de commandes clients
- 44 millions de numéros de carte de fidélité / Essence (avec les coordonnées du client)
- Pièces automobiles / numéros de pièces
- Historique des ventes
- Informations sur le candidat à l’emploi avec SSNS, numéros de permis de conduire et détails démographiques
- Détails de l’offre de transaction
Bien qu’ils aient également mentionné qu’ils vendaient les informations volées de 358 000 employés, l’entreprise en compte actuellement environ 68 000. La différence pourrait être d’anciennes données appartenant à d’anciens employés et associés.
Breachtrace a été en mesure de confirmer qu’un grand nombre d’enregistrements de clients Advance Auto Parts sont légitimes.
Advance n’a pas encore divulgué publiquement cette violation et avisé la Securities and Exchange Commission des États-Unis de l’incident. Breachtrace a contacté un porte-parole d’Advance Auto Parts à plusieurs reprises pour confirmation et pour lui poser des questions sur la violation, mais n’a pas reçu de réponse.
Données volées sur le compte Snowflake d’Advance
L’acteur menaçant vendant les données d’Advance pour 1,5 million de dollars sur un forum de piratage a déclaré à Breachtrace que les données avaient été volées lors de récentes attaques ciblant les clients de la société de stockage en nuage Snowflake depuis au moins la mi-avril 2024.
Les services cloud de Snowflake sont utilisés par 9 437 clients, dont des sociétés de premier plan dans le monde entier, telles que Adobe, AT & T, Kraft Heinz, Mastercard, Micron, Capital One, Doordash, HP, Nielsen, Novartis, Okta, PepsiCo, Siemens, Instacart, JetBlue, NBC Universal, US Foods, Western Union, Yamaha et bien d’autres.
L’acteur de la menace a également déclaré à Breachtrace que l’entreprise automobile n’était pas le seul client de Snowflake dont les données avaient été exfiltrées. Certains clients de Snowflake auraient également déjà payé pour récupérer leurs données après avoir été contactés par les attaquants, selon l’acteur de la menace, mais Breachtrace n’a pas été en mesure de confirmer de manière indépendante si cela était vrai.
Comme l’a d’abord partagé la société HackManac, spécialisée dans les menaces, les données divulguées contiennent de nombreuses références à « SNOWFLAKE », corroborant l’affirmation de l’acteur de la menace selon laquelle elles ont été volées lors des récentes attaques de vol de données Snowflake.
Des violations récentes de Santander et de Ticketmaster ont également été liées à ces attaques. Vendredi, la société mère de TicketMaster, Live Nation, a confirmé qu’une violation de données avait touché l’entreprise de billetterie après que son compte Snowflake ait été compromis le 20 mai.
La société a confirmé dans un avis conjoint avec CrowdStrike et Mandiant que les attaquants utilisent des informations d’identification volées pour cibler les clients dont l’authentification multifacteur est désactivée.
Snowflake a ajouté que bien que le compte de démonstration d’un employé ait été compromis dans cette campagne à l’aide d’identifiants volés, ce compte ne permettait pas aux auteurs de menaces d’accéder aux données sensibles et aux systèmes de production ou d’entreprise.
« À ce jour, nous ne pensons pas que cette activité soit causée par une vulnérabilité, une mauvaise configuration ou une activité malveillante au sein du produit Snowflake », a déclaré Brad Jones, RSSI de Snowflake.
« Tout au long de notre enquête en cours, nous avons rapidement informé le nombre limité de clients qui, selon nous, pourraient avoir été touchés. »
Charles Carmakal, directeur technique de Mandiant Consulting, a déclaré à Breachtrace que Mandiant avait aidé des clients Snowflake compromis au cours des dernières semaines. Les enquêtes de Mandiant indiquent également que les attaquants utilisent probablement des informations d’identification volées par des logiciels malveillants voleurs d’informations pour accéder aux locataires Snowflake des victimes et voler des données.