Le détaillant de luxe Neiman Marcus a confirmé avoir subi une violation de données après que des pirates informatiques ont tenté de vendre la base de données de l’entreprise volée lors des récentes attaques de vol de données Snowflake.

Dans une notification de violation de données déposée auprès du Bureau du procureur général du Maine, la société affirme que la violation a touché 64 472 personnes.

« En mai 2024, nous avons appris qu’entre avril et mai 2024, un tiers non autorisé avait eu accès à une plateforme de base de données utilisée par Neiman Marcus Group. Sur la base de notre enquête, le tiers non autorisé a obtenu certaines informations personnelles stockées dans la plate-forme de base de données », prévient Neiman Marcus dans une notification de violation de données.

« Les types de renseignements personnels touchés variaient d’une personne à l’autre et comprenaient des informations telles que le nom, les coordonnées, la date de naissance et le ou les numéros de carte-cadeau Neiman Marcus ou Bergdorf Goodman(sans les codes PIN de la carte-cadeau). »

Neiman Marcus a déclaré qu’ils avaient désactivé l’accès à la plate-forme de base de données lorsque la violation avait été détectée, enquêté avec des experts en cybersécurité et informé les forces de l’ordre.

Bien que les numéros de cartes-cadeaux de Neiman Marcus et Bergdorf Goodman aient été exposés dans la violation, les données n’incluaient pas de codes PIN, de sorte que les cartes-cadeaux devraient toujours être valides.

Dans une déclaration à Breachtrace , Neiman Marcus a confirmé que les données avaient été volées sur leur compte Snowflake.

« Neiman Marcus Group (NMG) a récemment appris qu’une partie non autorisée avait eu accès à une plate-forme de base de données cloud utilisée par NMG et fournie par un tiers, Snowflake », a déclaré le groupe Neiman Marcus à Breachtrace .

Lié aux attaques de vol de données Snowflake
Les notifications de violation de données interviennent après qu’un acteur de la menace nommé « Sp1d3r » a mis en vente les données de Neiman Marcus sur un forum de piratage pour 150 000$, comme l’a d’abord partagé HackManac.

Cet acteur de la menace est à l’origine de la vente de données pour de nombreuses entreprises piratées lors des récentes attaques de vol de données Snowflake.

Bien que l’acteur de la menace n’ait pas mentionné Snowflake dans le message, ils ont inclus « Raped Flake », qui fait référence à un outil personnalisé du même nom que les acteurs de la menace ont créé pour voler des données de la plate-forme de base de données.

Données de Neiman Marcus à vendre sur un forum de piratage

Selon l’auteur de la menace, les données volées comprenaient ce que Neiman Marcus a partagé, ainsi que les quatre derniers chiffres des numéros de sécurité sociale, les transactions des clients, les e-mails des clients, les enregistrements d’achats, les données des employés et des millions de numéros de cartes-cadeaux.

L’auteur de la menace affirme avoir tenté d’extorquer l’entreprise avant la publication sur le forum, déclarant que l’entreprise avait refusé de payer une demande d’extorsion.

Cependant, peu de temps après la publication du message sur le forum, il a ensuite été retiré avec l’échantillon de données, indiquant que l’entreprise avait peut-être commencé à négocier avec les acteurs de la menace.

165 organisations probablement touchées par des attaques de flocons de neige
Une enquête conjointe menée par SnowFlake, Mandiant et CrowdStrike a révélé qu’un acteur de la menace, suivi sous le numéro UNC5537, a utilisé des informations d’identification volées de clients pour cibler au moins 165 organisations qui n’avaient pas configuré de protection d’authentification multifacteur sur leurs comptes.

Mandiant a également lié les attaques de Snowflake à un acteur de la menace à motivation financière identifié comme UNC5537 depuis mai 2024. Cet acteur de la menace est connu pour violer les organisations, voler des données et tenter d’extorquer aux entreprises le paiement d’une rançon pour que les données ne soient pas publiées ou divulguées à d’autres acteurs de la menace.

Bien que Mandiant n’ait pas divulgué publiquement beaucoup d’informations sur UNC5537, Breachtrace a appris qu’ils faisaient partie d’une communauté d’acteurs de la menace qui visitent fréquemment les mêmes sites Web, serveurs Telegram et Discord.

Pour violer les comptes Snowflake, l’auteur de la menace a utilisé des informations d’identification volées par des infections malveillantes voleuses d’informations datant de 2020.

« Les comptes concernés n’étaient pas configurés avec l’authentification multifacteur activée, ce qui signifie qu’une authentification réussie ne nécessitait qu’un nom d’utilisateur et un mot de passe valides », a déclaré Mandiant.

« Les informations d’identification identifiées dans la sortie du logiciel malveillant infostealer étaient toujours valides, dans certains cas des années après leur vol, et n’avaient pas été modifiées ou mises à jour. Les instances clientes Snowflake impactées ne disposaient pas de listes d’autorisations réseau en place pour autoriser uniquement l’accès à partir d’emplacements approuvés. »

Chronologie de l’attaque du flocon de neige UNC5537

Snowflake et Mandiant ont déjà informé environ 165 organisations potentiellement exposées à ces attaques en cours.

Les violations récentes liées à ces attaques incluent Santander, Ticketmaster, QuoteWizard / Lending Tree, Advance Auto Parts, Los Angeles Unified et Pure Storage.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *