El grupo de ciberdelincuencia ShinyHunters ha reclamado una filtración de datos que afecta a Kemper Corporation, que afirma haber publicado millones de registros en una página web oscura tras negociaciones fallidas con la empresa.
El grupo alega que se han filtrado más de 13 millones de registros, con aproximadamente 29 GB de datos extraídos del entorno Salesforce de Kemper. El conjunto de datos se describe como conteniendo tanto información personal como corporativa, aunque el alcance completo del material expuesto no ha sido verificado de forma independiente.
Según las afirmaciones, los datos se obtuvieron mediante acceso a una cuenta de Salesforce vinculada a Kemper. El incidente forma parte de una campaña más amplia en la que los atacantes han atacado a múltiples organizaciones comprometiendo credenciales y accediendo a sistemas en la nube.
ShinyHunters publicó los supuestos datos en su sitio de filtración el 15 de abril, tras advertir previamente que la daría a conocer si no se alcanzaba un acuerdo. El grupo había establecido un plazo y se refería a un enfoque de “pagar o filtrarse” en sus comunicaciones.
La empresa no ha confirmado públicamente la brecha. Los investigadores que revisaron los datos de muestra compartidos por los atacantes afirmaron que se están realizando esfuerzos de verificación para determinar si el conjunto de datos proviene de los sistemas Kemper.
Kemper es un proveedor de seguros con sede en Estados Unidos que ofrece cobertura de automóvil, vida y salud, con unos ingresos anuales reportados de alrededor de 5.000 millones de dólares y aproximadamente 10.000 empleados.
El incidente está vinculado a un conjunto más amplio de ataques atribuidos a ShinyHunters, que se han asociado con plataformas de software como servicio y con integraciones de terceros para acceder a datos corporativos. Estas campañas han implicado técnicas de ingeniería social utilizadas para capturar credenciales y autenticarse en sistemas sin explotar vulnerabilidades directas.
El conjunto de datos reportado puede incluir información personal identificable y registros internos de la empresa. Los investigadores de seguridad afirman que dichos datos, si se confirman, podrían usarse en fraudes relacionados con la identidad o en intentos de intrusión, dependiendo de su contenido.
No se han revelado el número total de personas afectadas ni la duración de la exposición. No se han proporcionado detalles sobre la notificación a los clientes afectados ni sobre la respuesta regulatoria en el momento de la notificación.