انتشار شده در تاریخ 1404/09/10 - 14:45

ادعای هکرها درباره نفوذ به داده‌های حقوقی مرسدس‌بنز آمریکا

یک گروه تهدید سایبری با نام زستیکس مدعی شده است که به حجم قابل‌توجهی از داده‌های حساس شرکت مرسدس‌بنز آمریکا نفوذ کرده و ۱۸.۳ گیگابایت اطلاعات حقوقی و داده‌های مربوط به مشتریان را سرقت کرده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به‌گزارش منابع امنیتی، این گروه داده‌های ادعایی را در یکی از انجمن‌های دارک‌وب برای فروش قرار داده و قیمت کامل آرشیو را ۵ هزار دلار اعلام کرده است.

بر اساس توضیحات درج‌شده، این داده‌ها شامل مجموعه‌ای گسترده از اسناد داخلی، از جمله پرونده‌های حقوقی باز و مختومه در ۴۸ ایالت آمریکا است.

به‌گفته پایگاه ترتمان (ThreatMon) که نخستین‌بار این ادعا را رصد کرده، اطلاعات منتشرشده ظاهراً به ساختار حقوقی مرسدس‌بنز مربوط می‌شود؛ ساختاری که مسئولیت دفاع از این شرکت در برابر شکایات مشتریان درباره گارانتی را بر عهده دارد؛ به‌ویژه موارد مربوط به «قانون گارانتی مگنوسون-موس» و «قانون گارانتی مصرف‌کنندگان سونگ-بورلی».

اگر این ادعا صحت داشته باشد، موضوع نشان‌دهنده آسیب‌پذیری جدی شرکت‌های طرف قرارداد حقوقی است که داده‌های بسیار حساس سازمانی و مصرف‌کنندگان را پردازش می‌کنند.

هکر مدعی است داده‌های سرقتی شامل «تمامی استراتژی‌های دفاعی، نرخ‌های حق‌الوکاله مشاوران حقوقی و سیاست‌های تسویه‌حساب» مرسدس‌بنز در آمریکا است.

بر اساس ادعای منتشرشده، آرشیو فاش‌شده بسیار گسترده است و علاوه‌بر اطلاعات عملیاتی بخش حقوقی، شامل داده‌های شناسایی شخصی (PII) مشتریان نیز می‌شود.

این رویداد بار دیگر ریسک بالای زنجیره تأمین داده را یادآوری می‌کند؛ ریسکی که حتی اگر زیرساخت اصلی شرکت ایمن باشد، می‌تواند از طریق پیمانکاران و ارائه‌دهندگان خدمات حقوقی منجر به نفوذ شود.

مرسدس‌بنز آمریکا در گذشته نیز با مواردی از افشای داده مواجه بوده؛ از جمله نشت ناخواسته فضای ذخیره‌سازی ابری در سال ۲۰۲۱ که نزدیک به هزار مشتری را تحت‌تأثیر قرار داد، اما حادثه اخیر مستقیماً زنجیره تأمین حقوقی این شرکت را هدف قرار داده است، نه زیرساخت سازمانی اصلی.

افشای «فرم‌ها و الگوهای محرمانه مرسدس‌بنز آمریکا (MBUSA)» و استراتژی‌های دفاعی حقوقی می‌تواند پیامدهای بلندمدتی برای دعاوی در جریان داشته باشد.

همچنین وجود «فرم‌های پرسشنامه تأمین‌کنندگان جدید» که شامل جزئیات بانکی است، احتمال افزایش حملات جعل هویت تجاری (BEC) یا تقلب مالی علیه شبکه تأمین‌کنندگان مرسدس‌بنز را مطرح می‌کند.

تا زمان انتشار این گزارش، نه شرکت مرسدس‌بنز آمریکا و نه شرکت حقوقی بوریس و مک آمبر (Burris & MacOmber LLP) هیچ بیانیه رسمی درباره صحت داده‌های ادعایی منتشر نکرده‌اند.

کارشناسان امنیتی توصیه می‌کنند مشتریانی که اخیراً درگیر پرونده‌های گارانتی با این شرکت بوده‌اند، گزارش‌های اعتباری خود را کنترل کرده و نسبت به پیام‌های مشکوکی که ممکن است به پرونده آنان ارجاع دهد، هوشیار باشند.