Neiman Marcus نقض اطلاعات پس از هک حساب Snowflake را تایید کرد.

شرکت Neiman Marcus تأیید کرد که پس از تلاش هکرها برای فروش پایگاه داده شرکت که در حملات اخیر Snowflake به سرقت رفته بود، دچار نقض اطلاعات شده است.

در اطلاعیه‌ای که برای نقض داده‌ها به دفتر دادستان کل ایالت Maine ارائه شده است، شرکت اعلام کرده است که این نقض داده‌ها ۶۴,۴۷۲ نفر را تحت تأثیر قرار داده است.

در ماه مه ۲۰۲۴، ما متوجه شدیم که بین آوریل و مه ۲۰۲۴، یک شخص ثالث غیرمجاز به یک پلتفرم پایگاه داده مورد استفاده توسط Neiman Marcus Group دسترسی پیدا کرد. بر اساس تحقیقات، این فرد اطلاعات شخصی مختلفی را که در پلت فرم پایگاه داده ذخیره شده بود، به دست آورده است. لذا Neiman Marcus درباره این نقض اطلاعات هشدار داده است.

انواع اطلاعات شخصی که تحت تاثیر قرار گرفته است بر حسب افراد متفاوت بوده و شامل اطلاعاتی مانند نام، اطلاعات تماس، تاریخ تولد و شمار(های کارت هدیه Neiman Marcus یا Bergdorf Goodman می باشد.

Neiman Marcus اعلام کرد که پس از شناسایی نقض داده، دسترسی به پلتفرم پایگاه داده را غیرفعال کرده، با کارشناسان امنیت سایبری تحقیقاتی انجام داده و به مراجع قانونی اطلاع داده است.

اگرچه شماره‌های کارت هدیه Neiman Marcus و Bergdorf Goodman در این نقض داده فاش شدند، اما داده‌ها شامل کدهای پین نبودند، بنابراین کارت‌های هدیه باید همچنان معتبر باشند.

Neiman Marcus در بیانیه‌ای تأیید کرد که داده‌ها از حساب Snowflake آن‌ها دزدیده شده است.

گروه Neiman Marcus (NMG) اخیراً متوجه شد که یک شخص غیرمجاز به یک پلتفرم پایگاه داده ابری که توسط NMG استفاده می‌شود و توسط یک شرکت ثالث به نام Snowflake ارائه شده است، دسترسی پیدا کرده است.

حملات سرقت اطلاعات Snowflake

اعلان‌های نقض داده‌ها پس از آن منتشر می‌شوند که یک هکر به نام “Sp1d3r” داده‌های Neiman Marcus’ را برای فروش در یک انجمن هکری به قیمت ۱۵۰۰۰۰ دلار، که اولین بار توسط HackManac به اشتراک گذاشته شده بود، قرار داد.

این هکر در پشت پرده فروش داده‌های بسیاری از شرکت‌هایی است که در حملات سرقت داده Snowflake اخیر نفوذ شده‌اند.

هکر در پستی که منشتر کرده است هیچ اشاره ای به نام Snowflake نکرده است، و به جای آن از عبارت “Raped Flake” استفاده کرده است که به یک ابزار سفارشی با همین نام اشاره دارد که هکرها آن را برای دزدیدن داده‌ها از پلتفرم پایگاه‌داده ایجاد کرده بودند.

به گفته این هکر، داده‌های دزدیده شده شامل مواردی بود که Neiman Marcus به اشتراک گذاشته به همراه، چهار رقم آخر شماره‌های تامین اجتماعی، تراکنش‌های مشتریان، ایمیل‌های مشتریان، سوابق خرید، داده‌های کارمندان و میلیون‌ها شماره کارت هدیه می باشد.

هکر ادعا می کند که قبل از قرار دادن این پست در انجمن هک، از شرکت طلب باج مورد نظر را کرده است ولی شرکت از پرداخت باج خودداری کرده است.

با این حال، بلافاصله پس از انتشار پست در انجمن، نمونه داده هایی که هکر قرار داده بود پاک شد که این موضوع نشان می دهد که به احتمال زیاد شرکت با هکر وارد مذاکره شده است.

تاثیر احتمالی ۱۶۵ سازمان تحت حملات Snowflake

تحقیق مشترکی توسط SnowFlake، Mandiant، و CrowdStrike نشان داد که یک هکر به نام UNC5537 از اطلاعات ورودی مشتریان دزدیده شده استفاده کرده است تا حداقل ۱۶۵ سازمان را که محافظت مکانیزم احراز هویت دو مرحله‌ای را بر روی حساب‌هایشان تنظیم نکرده بودند، هدف قرار دهد.

Mandiant همچنین ارتباط حملات Snowflake را به هکری با نام UNC5537 که از ماه مه ۲۰۲۴ با انگیزه مالی شروع به فعالیت کرده، مرتبط دانست. این عامل تهدید به دلیل نقض سازمان‌ها، سرقت داده‌ها و تلاش برای اخاذی از شرکت‌ها برای پرداخت باج برای عدم انتشار یا افشای داده‌ها شناخته شده است.

در حالی که Mandiant اطلاعات زیادی را در مورد UNC5537 به طور عمومی فاش نکرده است، برخی از محققان امنیتی دریافته است که این گروه هکری به طور مکرر به همان وب‌سایت‌ها و سرورهای Telegram و Discord مراجعه می‌کنند.

برای نفوذ به حساب‌های Snowflake، هکر از credentials به سرقت رفته در سال ۲۰۲۰ استفاده کرده است.

Mandiant گفت: حساب‌های تحت تأثیر با احراز هویت چند عاملی فعال پیکربندی نشده‌اند، به این معنی که احراز هویت موفق فقط به یک نام کاربری و رمز عبور معتبر نیاز دارد.

Credentials شناسایی شده در خروجی نرم‌افزارهای مخرب جاسوسی هنوز معتبر بودند، در برخی موارد سال‌ها پس از دزدیده شدن آن‌ها، هنوز هم تغییر یا به‌روزرسانی انجام نشده است. نمونه‌های مشتریان تحت تأثیر Snowflake دسترسی به لیست‌های مجاز شبکه برای اجازه دسترسی تنها از مکان‌های قابل اعتماد را نداشتند.