Advance Auto Parts

大手自動車アフターマーケット・パーツ・プロバイダーであるAdvance Auto Parts社のSnowflakeアカウントに侵入し、盗まれた3TBのデータを販売していると脅威者が主張している。

Advanceは4,777店舗と320のWorldpac支店を運営し、米国、カナダ、プエルトリコ、米領バージン諸島、メキシコ、およびさまざまなカリブ海諸島で1,152の独立経営のCarquest店舗にサービスを提供しています。

本日、(Sp1d3rというハンドルネームを使用する)脅威行為者が明らかにしたように、AdvanceのSnowflakeクラウドストレージ環境から盗まれた膨大なデータのアーカイブには以下が含まれる:

  • 3億8000万件の顧客プロファイル(名前、電子メール、携帯電話、電話番号、住所など)
  • 1億4000万件の顧客注文
  • 4400万件のロイヤリティ/ガスカード番号(顧客詳細付き)
  • 自動車部品/パーツ番号
  • 販売履歴
  • SSN、運転免許証番号、人口統計学的詳細を含む採用候補者情報
  • 取引入札の詳細

358,000人の従業員の盗難情報を販売するとも述べているが、現在同社が保有しているのは約68,000人である。その差は、元従業員や同僚の古いデータである可能性がある。

Advance Auto Parts data sale
アドバンスオートパーツのデータがオンラインで販売される

は、多数のアドバンスオートパーツの顧客記録が正当なものであることを確認できた。

アドバンスはまだこの情報漏洩を公表しておらず、米国証券取引委員会にもこの件を通知していない。アドバンス・オート・パーツの広報担当者に確認のため、また情報漏洩に関する質問を数回問い合わせたが、回答は得られなかった。

アドバンスのSnowflakeアカウントから盗まれたデータ

ハッキング・フォーラムでアドバンスのデータを150万ドルで販売していた脅威行為者は、少なくとも2024年4月中旬以降、クラウド・ストレージ会社スノーフレークの顧客をターゲットにした最近の攻撃でデータが盗まれたと語った。

スノーフレークのクラウドサービスは、Adobe、AT&T、Kraft Heinz、Mastercard、Micron、Capital One、Doordash、HP、Nielsen、Novartis、Okta、PepsiCo、Siemens、Instacart、JetBlue、NBC Universal、US Foods、Western Union、Yamahaなど、世界中の有名企業を含む9,437の顧客に利用されている。

また、脅威行為者は、データが流出したスノーフレークの顧客は自動車会社だけではないと語った。同脅威行為者によると、スノーフレークの顧客の中には、攻撃者から連絡を受けた後、データを取り戻すためにすでに支払いを済ませたとされる者もいるが、これが事実かどうかは独自に確認できていないという。

脅威情報会社HackManacが最初に共有したように、流出したデータには「SNOWFLAKE」への言及が多数含まれており、最近のSnowflakeデータ盗難攻撃で盗まれたという脅威行為者の主張を裏付けている。

HackManac Advance Auto Parts tweet

最近のサンタンデールと チケットマスターの侵害も、これらの攻撃と関連していた。金曜日、TicketMasterの親会社であるLive Nationは、5月20日にSnowflakeのアカウントが侵害された後、データ侵害がチケット会社を襲ったことを確認した。

同社は、CrowdStrike社およびMandiant社との共同アドバイザリーで、攻撃者が盗んだ認証情報を使って、多要素認証が無効になっている顧客を狙っていることを確認した。

Snowflakeは、このキャンペーンで盗まれた認証情報を使用して1人の従業員のデモアカウントが侵害されたが、このアカウントは脅威行為者に機密データや本番システム、企業システムへのアクセスを提供しなかったと付け加えた。

「スノーフレークCISOのブラッド・ジョーンズは、「現在までのところ、この活動は、スノーフレーク製品内の脆弱性、設定ミス、または悪意のある活動によって引き起こされたとは考えていません。

「現在進行中の調査を通じて、影響を受けたと思われる限られた顧客には速やかに報告しています」。

Mandiant Consulting CTOのCharles Carmakalは、Mandiantはここ数週間、侵害されたSnowflakeの顧客を支援してきたと語った。また、Mandiantの調査によると、攻撃者は情報窃盗マルウェアによって盗まれた認証情報を使って、被害者のSnowflakeテナントにアクセスし、データを盗んでいる可能性が高いという。