奢侈品零售商 Neiman Marcus 证实,公司泄露的数据是黑客从此前入侵的 Snowflake 账户窃取的。
在向缅因州总检察长办公室提交的一份数据泄露通知中,该公司称此次数据泄露影响了 64472 人。
“2024 年 5 月,我们得知,一未经授权的第三方于 2024 年 4 月至 5 月期间访问了 Neiman Marcus 集团使用的数据库平台。据调查,该第三方获得了数据库平台中存储的某些个人信息,” Neiman Marcus 在一份数据泄露通知中警告说。“受影响的个人信息类型因人而异,包括姓名、联系方式、出生日期、Neiman Marcus 或 Bergdorf Goodman 礼品卡号(不含礼品卡密码)等。”
Neiman Marcus 表示,在发现漏洞后,他们立即关闭了对数据库平台的访问,同时与网络安全专家一起展开调查,并通知了执法部门。
虽然 Neiman Marcus 和 Bergdorf Goodman 的礼品卡号在漏洞中暴露,但数据中不包括 PIN 码,因此礼品卡应该仍然有效。
Neiman Marcus 在给 BleepingComputer 的一份声明中证实,暴露的数据是从公司的 Snowflake 账户窃取的。该集团表示,有未经授权方获得了公司使用的云数据库平台的访问权限,且该平台由第三方 Snowflake 提供。
与 Snowflake 数据盗窃攻击相关
HackManac 最早披露道,数据泄露通知是在一名为 “Sp1d3r “的黑客于黑客论坛上以 15 万美元的价格出售 Neiman Marcus 的数据之后发布的。
在近期发生的 Snowflake 数据窃取攻击事件中,许多公司的数据也因此被窃取,而 Sp1d3r 正是这些数据的出售者。
尽管黑客在帖子中没有提到 Snowflake,但他们提到了 “Raped Flake”,即黑客为从数据库平台窃取数据而创建的同名自定义工具。
Neiman Marcus 的数据在黑客论坛上出售的截图
据黑客称,被盗内容包括 Neiman Marcus 共享的数据,以及社会保障号的后四位数字、客户交易信息、客户电子邮件、购物记录、员工数据和数百万张礼品卡号。黑客在论坛发帖之前曾试图勒索该公司,但 Neiman Marcus 拒绝了支付勒索金。
然而,在论坛发帖后不久,该帖子和数据样本随即被删除,这表明该公司可能已开始与黑客进行谈判。
165 家可能受到 Snowflake 攻击影响的组织
Snowflake、Mandiant 和 CrowdStrike 的一项联合调查显示,一个被标记为 UNC5537 的黑客使用窃取的客户凭证,攻击了至少 165 个未在其账户上配置多因素身份验证保护的组织。
Mandiant 将 Snowflake 攻击遭遇的网络攻击与 UNC5537 相联。该黑客以入侵组织、窃取数据并试图勒索公司支付赎金以避免数据被泄露而闻名。
虽然 Mandiant 没有公开披露太多关于 UNC5537 的信息,但 BleepingComputer 已经了解到, UNC5537 是黑客社区的成员,这些黑客经常访问相同的网站、Telegram 和 Discord 服务器。
为了入侵 Snowflake 账户,黑客使用了可追溯到 2020 年的信息窃取恶意软件感染所窃取的凭据。
Mandiant 表示:“受影响的账户没有配置多因素身份验证,这意味着成功进行身份验证只需要有效的用户名和密码。”
“在某些情况下,信息窃取恶意软件输出中识别出的凭证多年后仍然有效,且没有被轮换或更新。受影响的 Snowflake 客户实例没有网络允许列表,只允许从受信任的位置进行访问。”
UNC5537 Flake 攻击时间表
Snowflake 和 Mandiant 已经通知了约 165 家可能受到持续攻击影响的组织。
近期与该网络攻击相关的漏洞包括 Santander、Ticketmaster、QuoteWizard/LendingTree、Advance Auto Parts、Los Angeles Unified 和 Pure Storage。
(转载请注明出处@安全威胁纵横,本文来源:https://www.bleepingcomputer.com/news/security/neiman-marcus-confirms-data-breach-after-snowflake-account-hack/)
原文始发于微信公众号(安全威胁纵横):由于 Snowflake 账户被入侵,Neiman Marcus 遭受数据泄露
