Ambas marcas confirmaron brechas de seguridad que expusieron información de sus clientes en los Estados Unidos. El grupo de cibercrimen ShinyHunters estaría detrás de los incidentes, mediante sofisticadas campañas de phishing y abuso de aplicaciones OAuth.
Dos de las marcas más reconocidas del mundo en el sector del lujo, Chanel y Pandora, revelaron haber sido víctimas recientes de filtraciones de datos que comprometieron información sensible de sus clientes, en ataques que apuntan a un patrón común: el abuso de cuentas en la plataforma Salesforce.
La empresa danesa de joyería Pandora comenzó a notificar esta semana a sus clientes sobre un incidente de seguridad en el que «información de contacto fue accedida por un actor no autorizado a través de una plataforma de terceros», según indicaron en un comunicado compartido en foros como Reddit. La empresa precisó que los datos afectados incluían nombres, correos electrónicos y fechas de nacimiento, pero no involucraron contraseñas ni información financiera, pese a lo cual, la información es suficiente como para iniciar campañas de phishing dirigidos a los clientes de la tienda de lujo.
En paralelo, Chanel confirmó un incidente similar ocurrido el 25 de julio pasado, el cual afectó a clientes de los Estados Unidos. Según la empresa, un actor externo logró acceder a una base de datos alojada en un proveedor de servicios externo, obteniendo información como nombre, correo electrónico, dirección física y número de teléfono. Chanel enfatizó que no se desplegó malware y que sus operaciones no se vieron afectadas.
Ambos incidentes se vinculan a una campaña más amplia de robo de datos dirigida a usuarios de Salesforce, atribuida al grupo de extorsión digital ShinyHunters (UNC6040). Según investigaciones de Google Threat Intelligence y Mandiant, los atacantes emplean técnicas de vishing (phishing por voz) para engañar a empleados, haciéndose pasar por personal de TI para obtener credenciales o instalar aplicaciones maliciosas como versiones manipuladas del Salesforce Data Loader.
En los ataques más recientes, ShinyHunters ha adoptado scripts en Python y el uso de IPs de la red TOR para ocultar su ubicación. Google reveló también esta semana que una de sus propias instancias de Salesforce fue vulnerada “por un breve período”, aunque los datos extraídos eran de carácter público.
Salesforce aclaró que su plataforma no fue comprometida, y que los ataques se deben a ingeniería social dirigida a cuentas de clientes, e instaron a todos sus clientes a seguir buenas prácticas de seguridad como la autenticación multifactor, la gestión cuidadosa de aplicaciones conectadas y el principio de mínimo privilegio, indicó la compañía en un comunicado.
Además de Chanel y Pandora, otras marcas afectadas por ataques similares incluyen Adidas, Qantas, Allianz Life y firmas del conglomerado LVMH, como Louis Vuitton, Dior y Tiffany & Co.
Hasta ahora, los atacantes no han filtrado públicamente los datos robados, pero se especula que los esfuerzos de extorsión estarían en curso vía correo electrónico, con posibles filtraciones futuras si las demandas no se cumplen.