Een datalek dat Kemper Corporation treft, is geclaimd door de cybercrimegroep ShinyHunters, die zegt miljoenen gegevens te hebben gepubliceerd op een dark website na mislukte onderhandelingen met het bedrijf.
De groep beweert dat er meer dan 13 miljoen records zijn gelekt, waarvan ongeveer 29 GB aan data afkomstig is uit Kempers Salesforce-omgeving. De dataset wordt beschreven als bestaande uit zowel persoonlijke als bedrijfsinformatie, hoewel de volledige omvang van het blootgelegde materiaal niet onafhankelijk is geverifieerd.
Volgens de beweringen is de data verkregen via toegang tot een Salesforce-account dat aan Kemper is gekoppeld. Het incident maakt deel uit van een bredere campagne waarbij aanvallers meerdere organisaties hebben getarget door inloggegevens te compromitteren en toegang te krijgen tot cloudgebaseerde systemen.
ShinyHunters plaatste de vermeende gegevens op 15 april op zijn leksite, nadat eerder had gewaarschuwd dat het de informatie zou vrijgeven als er geen overeenkomst werd bereikt. De groep had een deadline gesteld en verwees in haar communicatie naar een “pay or leak”-benadering.
Het bedrijf heeft de datalek niet publiekelijk bevestigd. Onderzoekers die steekproefgegevens van de aanvallers bekeken, verklaarden dat verificatie-inspanningen gaande zijn om te bepalen of de dataset afkomstig is van Kemper-systemen.
Kemper is een in de VS gevestigde verzekeringsmaatschappij die auto-, levens- en zorgverzekering aanbiedt, met een gerapporteerde jaarlijkse omzet van ongeveer 5 miljard dollar en ongeveer 10.000 medewerkers.
Het incident is gekoppeld aan een bredere reeks aanvallen die aan ShinyHunters worden toegeschreven, die in verband worden gebracht met het targeten van software as a service-platforms en integraties van derden om toegang te krijgen tot bedrijfsgegevens. Deze campagnes omvatten social engineering-technieken die worden gebruikt om inloggegevens te verkrijgen en zich in systemen te authenticeren zonder directe kwetsbaarheden te exploiteren.
De gerapporteerde dataset kan persoonlijk identificeerbare informatie en interne bedrijfsgegevens bevatten. Beveiligingsonderzoekers stellen dat dergelijke gegevens, indien bevestigd, gebruikt kunnen worden voor identiteitsgerelateerde fraude of verdere inbraakpogingen, afhankelijk van de inhoud.
Het totale aantal getroffen personen en de duur van de blootstelling zijn niet bekendgemaakt. Er zijn geen details verstrekt over de melding van getroffen klanten of de regulatoire reactie op het moment van rapportage.