La compañía de moda de lujo Kering ha confirmado un incidente de exfiltración de datos en el que el actor de amenaza Shiny Hunters accedió a registros privados de clientes para Gucci, Balenciaga y Alexander McQueen.
La violación, detectada en junio, pero que ocurre en abril, expuso información de identificación personal (PII) para aproximadamente 7,4 millones de direcciones de correo electrónico únicas.
Control de llave
1. PII y gastar datos de ~ 7.4 m clientes de la marca de lujo robados.
2. Los compradores de alto valor enfrentan phishing elevado y riesgos de intercambio SIM.
3. Kering notificó a los reguladores/clientes, rechazó el rescate.
Exfiltración de datos masivo
Según la declaración de Kering, el atacante obtuvo acceso temporal no autorizado a través de credenciales internas comprometidas, probablemente cosechadas a través de una campaña de phishing dirigida a los portales SSO de Salesforce.
El conjunto de datos robado contiene:
Correo electrónico Nombre completo Número de teléfono Dirección de envío Ventas totales
No se exfiltraron los datos regulados por PCI-DSS, como los números de tarjeta de crédito o los detalles de la cuenta bancaria. En su lugar, los archivos incluyen nombres, direcciones de correo electrónico, números de teléfono, direcciones de envío y un campo de “ventas totales” que indica el gasto acumulativo de cada cliente.
El análisis de una muestra de prueba de concepto reveló niveles de gastos que van desde $ 10,000 a $ 86,000 por individuo, aumentando las preocupaciones sobre la ballena dirigida y el phishing de lanza.
Kering ha notificado a las autoridades relevantes de protección de datos bajo el artículo 33 del GDPR y se comunicó directamente con los clientes afectados por correo electrónico.
Según las regulaciones de la UE, las empresas solo necesitan divulgar públicamente las violaciones si el incidente presenta un alto riesgo para los sujetos de datos; el kering mantiene sus obligaciones de notificación directa.
Demandas de rescate de los cazadores brillantes
BBC informa que El atacante, autoidentificado como cazadores brillantes, afirmó haber negociado un rescate en Bitcoin (BTC) con Kering a partir de junio a través de Telegram.
Kering niega cualquier negociación pagada y confirma la adherencia a la guía de aplicación de la ley para rechazar los pagos de rescate.
Paralelamente, el grupo de análisis de amenazas de Google atribuye una campaña similar rastreada como UNC6040 a cazadores brillantes, señalando la explotación de los tokens API robados y el mal uso de los alcances de Oauth para cosechar credenciales de otras empresas importantes.
Este patrón subraya en evolución de los TTP (tácticas, técnicas y procedimientos), que incluyen:
Robo de credenciales a través del abuso de ingeniería social de la exfiltración de integraciones de CRM de terceros a través de canales encriptados
Los expertos en seguridad advierten que la PII filtrada combinada con los perfiles de gasto del cliente podría facilitar las intrusiones secundarias, como la adquisición de la cuenta o el intercambio de SIM, especialmente contra objetivos de alto valor.
Las víctimas deben asumir que los estafadores pueden hacerse pasar por organizaciones legítimas con PII robado. Las mitigaciones recomendadas incluyen:
Habilite la autenticación multifactor (MFA) en todas las cuentas. Use contraseñas únicas generadas al azar (por ejemplo, frases de contraseña de tres palabras aleatorias). Monitoree los informes de crédito y configure alertas para actividades sospechosas.
El NCSC aconseja restablecer las contraseñas y revisar la configuración de recuperación de la cuenta para todos los perfiles de correo electrónico y comercio electrónico. El vigilante restante contra las llamadas o correos electrónicos no solicitados que exigen acciones urgentes pueden ayudar a frustrar el fraude de seguimiento.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
