Una fuga di dati che riguarda Kemper Corporation è stata rivendicata dal gruppo di criminalità informatica ShinyHunters, che afferma di aver pubblicato milioni di documenti su un sito web oscuro dopo negoziati falliti con l’azienda.
Il gruppo sostiene che sono stati trapestati più di 13 milioni di record, con circa 29 GB di dati prelevati dall’ambiente Salesforce di Kemper. Il dataset è descritto come contenente sia informazioni personali che aziendali, anche se l’intera portata del materiale esposto non è stata verificata in modo indipendente.
Secondo le affermazioni, i dati sono stati ottenuti tramite l’accesso a un account Salesforce collegato a Kemper. L’incidente fa parte di una campagna più ampia in cui gli aggressori hanno preso di mira più organizzazioni compromettendo le credenziali e ottenendo accesso a sistemi cloud.
ShinyHunters ha pubblicato i presunti dati sul sito della fuga di notizie il 15 aprile, dopo aver precedentemente avvertito che avrebbe rilasciato le informazioni se non fosse stato raggiunto un accordo. Il gruppo aveva fissato una scadenza e citato un approccio “pay or leak” nelle comunicazioni.
L’azienda non ha confermato pubblicamente la violazione. I ricercatori che hanno esaminato i dati campioni condivisi dagli attaccanti hanno dichiarato che sono in corso sforzi di verifica per determinare se il dataset provenga dai sistemi Kemper.
Kemper è un fornitore assicurativo statunitense che offre coperture auto, vita e sanità, con un fatturato annuo dichiarato di circa 5 miliardi di dollari e circa 10.000 dipendenti.
L’incidente è collegato a un insieme più ampio di attacchi attribuiti a ShinyHunters, associati a piattaforme software come servizio e integrazioni di terze parti per ottenere accesso ai dati aziendali. Queste campagne hanno coinvolto tecniche di ingegneria sociale utilizzate per acquisire credenziali e autenticarsi nei sistemi senza sfruttare vulnerabilità dirette.
Il dataset riportato può includere informazioni personali identificabili e registri interni dell’azienda. I ricercatori di sicurezza affermano che tali dati, se confermati, potrebbero essere utilizzati in frodi legate all’identità o in ulteriori tentativi di intrusione, a seconda del loro contenuto.
Il numero totale di individui colpiti e la durata dell’esposizione non sono stati resi noti. Non sono stati forniti dettagli riguardo alla notifica ai clienti interessati o alla risposta delle autorità normative al momento della segnalazione.