Badacze zajmujący się bezpieczeństwem twierdzą, że ich zdaniem cyberprzestępcy motywowani finansowo ukradli „znaczne ilości danych” setkom klientów hostujących ich ogromny bank danych w firmie Snowflake, gigantze przechowywania danych w chmurze.
Powiedziała firma Mandiant, zajmująca się reagowaniem na incydenty, która współpracuje z Snowflake w celu zbadania niedawnych incydentów naruszenia bezpieczeństwa danych W poniedziałek na blogu Obie firmy poinformowały około 165 klientów, że ich dane mogły zostać skradzione.
Po raz pierwszy od kwietnia, kiedy włamano się na konta, ujawniono liczbę klientów Snowflake, których dotyczyły ataki. Jak dotąd firma Snowflake niewiele powiedziała na temat ataków, stwierdzając jedynie, że dotknęły one „ograniczoną liczbę” jej klientów. Gigant danych w chmurze ma ponad 9800 klientów korporacyjnych, takich jak organizacje z zakresu opieki zdrowotnej, giganci handlu detalicznego i niektóre z największych na świecie firm technologicznych, które wykorzystują Snowflake do analizy danych.
Na razie, Tylko bileter I LendingTree potwierdziło Kradzież danych, gdy skradzione dane były hostowane w Snowflake. Kilku innych klientów Snowflake twierdzi, że obecnie badają możliwą kradzież danych z ich środowisk Snowflake.
Mandiant stwierdził, że kampania dotycząca zagrożeń jest „w toku”, co sugeruje, że liczba klientów korporacyjnych Snowflake zgłaszających naruszenia bezpieczeństwa danych może wzrosnąć.
W jego wpis na bloguMandiant przypisał włamanie na konto UNC5537, niesklasyfikowanemu jeszcze gangowi cyberprzestępczemu, którego motywacją według firmy zajmującej się bezpieczeństwem jest zarabianie pieniędzy. Mandiant twierdzi, że grupa, do której należą członkowie z Ameryki Północnej i co najmniej jeden członek z Turcji, próbuje wyłudzić od swoich ofiar pieniądze w zamian za odzyskanie ich plików lub zapobieżenie upublicznieniu danych swoich klientów.
Mandiant potwierdził, że ataki – które „polegają na wykorzystaniu skradzionych danych uwierzytelniających w celu uzyskania dostępu do instancji Snowflake klienta i ostatecznie wydobycia cennych danych” – rozpoczęły się co najmniej 14 kwietnia, kiedy badacze po raz pierwszy odkryli zidentyfikowany dowód niewłaściwego dostępu do środowisku anonimowego klienta Snowflake. Mandiant poinformował, że 22 maja powiadomił Snowflake o włamaniu na konta jego klientów.
Firma ochroniarska stwierdziła, że większość skradzionych danych uwierzytelniających używanych przez UNC5537 „dostępna była w wyniku historycznych infekcji Infostealer”, a niektóre z nich sięgają 2020 roku. Ustalenia Mandianta Potwierdź ograniczone ujawnienie SnowflakeKtóry stwierdził, że nie doszło do bezpośredniego naruszenia systemów Snowflake, ale obwinił go za niestosowanie uwierzytelniania wieloskładnikowego (MFA) na kontach klientów.
W zeszłym tygodniu TechCrunch znalazł to w Internecie Dane uwierzytelniające setek klientów Snowflake skradzione przez złośliwe oprogramowanie Który zainfekował komputery pracowników mających dostęp do środowiska Snowflake swojego pracodawcy. Liczba danych uwierzytelniających dostępnych online, powiązanych ze środowiskami Snowflake, wskazuje na ciągłe ryzyko dla klientów, którzy nie zmienili jeszcze swoich haseł ani nie włączyli usługi MFA.
Mandiant stwierdził, że „był świadkiem ujawnienia danych uwierzytelniających płatków śniegu setek klientów za pośrednictwem kradzieży informacji”.
Ze swojej strony Snowflake nie wymaga od swoich klientów domyślnego używania ani wdrażania funkcji bezpieczeństwa. W piątek w krótkiej aktualizacji firma Snowflake oświadczyła, że „opracowuje plan” wdrożenia korzystania z usługi MFA na rachunkach swoich klientów, ale nie podała jeszcze harmonogramu.
Rzeczniczka Snowflake Danica Stańczak nie chciała wyjaśnić, dlaczego firma nie zresetowała haseł klientów ani nie wdrożyła MFA. Snowflake nie skomentował od razu poniedziałkowego wpisu na blogu Mandianta.
Czy wiesz więcej o włamaniu na konto Snowflake? Kontakt. Aby skontaktować się z tym reporterem, skontaktuj się z Signal i WhatsApp pod numerem +1 646-755-8849 lub e-mailem. Możesz także przesyłać pliki i dokumenty Bezpieczny upadek,
