Chanel e Pandora se tornaram os mais recentes gigantes da moda a divulgar violações de dados de clientes, no que parecem ser ataques às suas contas do Salesforce.
A varejista de joias dinamarquesa Pandora começou a notificar os clientes sobre o incidente esta semana, de acordo com capturas de tela postadas no Reddit.
“Estamos escrevendo para informar que suas informações de contato foram acessadas por uma parte não autorizada por meio de uma plataforma de terceiros que usamos”, dizia o aviso.
“Interrompemos o acesso e fortalecemos ainda mais nossas medidas de segurança.”
De acordo com o Mensagem, apenas nomes, datas de nascimento e e-mails foram afetados, sem dados financeiros ou senhas roubadas.
No entanto, isso ainda representa um risco de segurança potencialmente importante para os clientes, de acordo com Mark Weir, diretor regional do Reino Unido e Irlanda da Check Point Software.
“Essa violação pode envolver apenas nomes, e-mails e datas de nascimento, mas isso é suficiente para phishing, preenchimento de credenciais e fraude de identidade sintética. Em termos cibernéticos, este é um forte ponto de partida para ataques mais graves”, alertou.
“O ataque veio por meio de uma plataforma de terceiros – um elo fraco comum nos ecossistemas de varejo. Essas integrações geralmente carecem de visibilidade, mas quando são violadas, não há garantia de que todos os clientes afetados serão informados.”
Separadamente, a Chanel informou seus clientes nos EUA sobre um incidente descoberto em 25 de julho, de acordo com capturas de tela postadas no X (antigo Twitter).
“A Chanel tomou conhecimento de um incidente de segurança envolvendo um banco de dados da Chanel, Inc. nos EUA hospedado por um provedor de serviços terceirizado, onde uma parte externa não autorizada acessou e obteve alguns dos dados do cliente que mantemos”, disse revelado.
“Não houve malware implantado em nossos sistemas e nossas operações permanecem inalteradas.”
Desta vez, a violação envolveu nomes, endereços de e-mail e residencial e números de telefone.
ShinyHunters, o principal suspeito
Embora as empresas ainda não tenham revelado mais detalhes, aumenta a suspeita de que os ataques possam fazer parte de uma campanha de extorsão de dados em andamento pelo grupo ShinyHunters (UNC6040).
Isso foi sinalizado pela primeira vez em Junho por Google Threat Intelligence, que revelou que os atores usam técnicas de phishing de voz (vishing) para induzir os funcionários a acreditar que estão ligando da TI.
Os atores então convencem as vítimas a entregar suas credenciais do Salesforce e tokens MFA, ou adicionar uma versão maliciosa do aplicativo Data Loader da Salesforce, para obter acesso ao banco de dados de clientes.
Em uma atualização ontem, o Google disse que o grupo agora passou a usar scripts Python que executam uma função semelhante ao aplicativo Data Loader, bem como IPs TOR para ofuscar sua localização.
O Google acrescentou que o grupo, que foi vinculado ao Scattered Spider / The Com, “pode estar se preparando para escalar suas táticas de extorsão lançando um site de vazamento de dados”.
A gigante da tecnologia também revelou que uma de suas próprias instâncias do Salesforce foi violada por UNC6040 “por uma pequena janela de tempo”.
Ele alegou que os dados exfiltrados “estavam confinados a informações comerciais básicas e amplamente disponíveis publicamente, como nomes comerciais e detalhes de contato”.
Outras empresas suspeitas de terem sido vitimadas de maneira semelhante pela ShinyHunters incluem Allianz Life, Adidas, Qantase vários LVMH Marcas.
“Agora é evidente que toda empresa com presença na Salesforce/CRM é um alvo em potencial, e os agentes de ameaças usam iscas de telefone e e-mail altamente convincentes e não dependem de explorações técnicas – tornando a equipe o principal vetor de ataque”, argumentou o evangelista-chefe da ColorTokens, Agnidipta Sarkar.
“Na minha opinião, além de conscientizar os helpdesks terceirizados e a equipe de suporte, os líderes de segurança cibernética devem investir imediatamente em tecnologias para reduzir o movimento lateral, restringir fortemente quais funcionários podem instalar ou aprovar novos aplicativos Salesforce, usar RBAC estrito [role-based access] controla e microssegmenta instâncias de nuvem, aplica autenticação sem senha baseada em certificado digital e monitora continuamente os ativos digitais críticos em busca de comportamento anômalo e malicioso.”
Crédito da imagem: Creative Lab / Shutterstock.com