De Amerikaanse warenhuisketen Neiman Marcus heeft via een gecompromitteerde Snowflake-omgeving de gegevens van 31 miljoen klanten gelekt, zo meldt beveiligingsonderzoeker Troy Hunt. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine liet Neiman Marcus nog weten dat het om ruim 64.000 mensen ging.

In een datalekmelding die eind juni naar getroffen klanten werd gestuurd stelde het bedrijf dat een aanvaller een maand eerder toegang had gekregen tot een 'databaseplatform' waar het gebruik van maakt. Daarbij zijn allerlei gegevens van klanten buitgemaakt, waaronder e-mailadressen, adresgegevens, telefoonnummers, geboortedata, cadeaukaartinformatie, transactiegegevens en gedeeltelijke creditcardnummers, de laatste vier cijfers van social-securitynummers en identificatienummers van medewerkers.

Op internet werden de gestolen gegevens aangeboden, waarbij de aanvaller claimde dat het om gegevens van 180 miljoen klanten ging. De aanvaller bood ook gegevens van andere klanten aan, die via hun Snowflake-omgeving zouden zijn gestolen. Snowflake biedt een cloudplatform voor de opslag van data, waar allerlei grote bedrijven gebruik van maken. Eerder werd bekend dat aanvallers inloggegevens van mogelijk 165 Snowflake-klanten hadden gestolen. Neiman Marcus bevestigde dat de data via de Snowflake-omgeving was buitgemaakt.

In de datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine wordt echter gesproken over ruim 64.000 getroffen klanten. Onderzoeker Troy Hunt, tevens oprichter van datalekzoekmachine Have I Been Pwned, meldt dat de gestolen data 31 miljoen unieke e-mailadressen, namen, telefoonnummers, geboortedata, adresgegevens en gedeeltelijke creditcardgegevens bevat. De e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bij Neiman Marcus gestolen e-mailadressen was 76 procent al via een aan datalek bij Have I Been Pwned bekend.