Investigadores de ciberseguridad de Hudson Rock afirman que el mundo acaba de presenciar la “mayor violación de datos minoristas de la historia” luego de una aparente violación en la cadena estadounidense Hot Topic.
En un nuevo informe de investigación, los investigadores dijeron que un actor de amenazas alias 'Satanic' anunció recientemente la venta de una importante base de datos en el infame foro Breached.
El archivo pertenece a tres empresas: Hot Topic, Box Lunch y Torrid, todas ellas fundadas por Hot Topic y, según se informa, contiene 350 millones de PII de clientes, incluidos nombres, correos electrónicos, direcciones, números de teléfono y fechas de nacimiento, junto con miles de millones. de detalles de pago, incluidos los últimos 4 dígitos de las tarjetas de crédito de los clientes, tipos de tarjetas, fechas de vencimiento con hash y nombres de titulares de cuentas, y miles de millones de puntos de fidelidad de Hot Topic y Box Lunch.
Copo de nieve y MFA
Al profundizar más, los investigadores descubrieron que la infracción se originó en una computadora que pertenecía a un empleado de Robling. Robling es una empresa que se especializa en brindar soluciones avanzadas de integración y análisis de datos para empresas minoristas y con múltiples ubicaciones.
Al parecer, el dispositivo del empleado estaba infectado con malware en septiembre de 2024, lo que resultó en el robo de más de 240 credenciales, incluidas algunas aparentemente vinculadas al proveedor de servicios de almacenamiento en la nube, Snowflake. Aquellos con mejor memoria recordarán un gran incidente esta primavera, cuando cientos de clientes de Snowflake sufrieron relleno de credenciales y ataques de fuerza bruta, lo que provocó el robo de enormes cantidades de información confidencial.
En este caso, el actor de amenazas tuvo libertad para acceder a la cuenta de Snowflake y obtener la información almacenada allí. “Por último, Satanic afirmó, enfatizamos, el hacker RECLAMÓ, que la infracción se originó por la falta de MFA en una cuenta de Snowflake junto con “otros enlaces””, dijo Hudson Rock.
Cualquiera que esté interesado en tener en sus manos esta base de datos debería estar dispuesto a pagar el precio inicial de 20.000 dólares. Alternativamente, Hot Topic puede eliminar el hilo de los foros por 100.000 dólares.
A través de El Registro