La société d’analyse de données cloud Snowflake est au centre d’une récente obscure de vols de données présumés, alors que ses entreprises clientes se démènent pour comprendre si leurs magasins de données cloud ont été compromis.
Snowflake aide certaines des plus grandes entreprises mondiales, notamment les banques, les prestataires de soins de santé et les entreprises technologiques, à stocker et analyser leurs grandes quantités de données, telles que les données purchasers, dans le cloud.
La semaine dernière, les autorités australiennes a tiré la sonnette d’alarme déclarant avoir pris connaissance de « compromis réussis de plusieurs entreprises utilisant les environnements Snowflake », sans nommer les entreprises. Des pirates informatiques avaient affirmé sur un discussion board connu sur la cybercriminalité avoir volé des centaines de tens of millions de dossiers purchasers de Santander Financial institution et Ticketmaster, deux des plus gros purchasers de Snowflake. Santander a confirmé une violation d’une base de données « hébergé par un fournisseur tiers », mais ne nommerait pas le fournisseur en query. Vendredi, Reside Nation a confirmé que sa filiale Ticketmaster avait été piratée et que la base de données volée était hébergée sur Snowflake.
Flocon de neige reconnu dans une brève déclaration qu’elle avait connaissance d’un « accès potentiellement non autorisé » à un « nombre limité » de comptes purchasers, sans préciser lesquels, mais qu’elle n’a trouvé aucune preuve d’une violation directe de ses systèmes. Snowflake l’a plutôt qualifié de « campagne ciblée destinée aux utilisateurs dotés d’une authentification à un seul facteur » et que les pirates ont utilisé « des logiciels malveillants préalablement achetés ou obtenus grâce à un vol d’informations », conçus pour récupérer les mots de passe enregistrés d’un utilisateur sur son ordinateur.
Malgré les données sensibles que Snowflake détient pour ses purchasers, Snowflake permet à chaque shopper de gérer la sécurité de son environnement, et n’inscrit pas automatiquement ni n’oblige ses purchasers à utiliser l’authentification multifacteur, ou MFA. selon la documentation shopper de Snowflake. Il semble que les cybercriminels aient obtenu d’énormes quantités de données auprès de certains purchasers de Snowflake, dont certains ont configuré leur environnement sans mesure de sécurité supplémentaire.
Snowflake a admis que l’un de ses propres comptes « démo » avait été compromis parce qu’il n’était pas protégé au-delà d’un nom d’utilisateur et d’un mot de passe, mais a affirmé que le compte « ne contenait pas de données sensibles ». On ne sait pas si ce compte de démonstration volé a joué un rôle dans les récentes violations.
TechCrunch a vu cette semaine des centaines d’identifiants de purchasers Snowflake présumés disponibles en ligne pour que les cybercriminels puissent les utiliser dans le cadre de campagnes de piratage, ce qui suggère que le risque de compromission des comptes purchasers de Snowflake pourrait être bien plus giant qu’on ne le pensait initialement.
Les informations d’identification ont été volées par un logiciel malveillant de vol d’informations qui a infecté les ordinateurs des employés ayant accès à l’environnement Snowflake de leur employeur.
Certaines des informations d’identification vues par TechCrunch semblent appartenir à des employés d’entreprises connues pour être des purchasers de Snowflake, notamment Ticketmaster et Santander, entre autres. Les employés ayant accès à Snowflake comprennent des ingénieurs de bases de données et des analystes de données, dont certains font référence à leur expérience d’utilisation de Snowflake sur leurs pages LinkedIn.
Pour sa half, Snowflake a demandé à ses purchasers d’activer immédiatement MFA pour leurs comptes. En attendant, les comptes Snowflake qui n’imposent pas l’utilisation de MFA pour se connecter exposent leurs données stockées au risque d’être compromises par des attaques simples telles que le vol et la réutilisation de mots de passe.
Remark nous avons vérifié les données
Une supply connaissant les opérations cybercriminelles a dirigé TechCrunch vers un website Internet sur lequel les attaquants potentiels peuvent rechercher des listes d’informations d’identification qui ont été volées à partir de diverses sources, telles que des logiciels malveillants de vol d’informations sur l’ordinateur de quelqu’un ou rassemblées à partir de violations de données antérieures. (TechCrunch ne crée pas de lien vers le website sur lequel les informations d’identification volées sont disponibles afin de ne pas aider les mauvais acteurs.)
Au complete, TechCrunch a vu plus de 500 informations d’identification contenant les noms d’utilisateur et les mots de passe des employés, ainsi que les adresses Internet des pages de connexion des environnements Snowflake correspondants.
Les informations d’identification exposées semblent concerner les environnements Snowflake appartenant à Santander, Ticketmaster, au moins deux géants pharmaceutiques, un service de livraison de nourriture, un fournisseur public d’eau douce, and so on. Nous avons également vu des noms d’utilisateur et des mots de passe exposés appartenant prétendument à un ancien employé de Snowflake.
TechCrunch ne nomme pas l’ancien employé automobile rien ne prouve qu’il ait fait quelque selected de mal. (Il est en fin de compte de la responsabilité de Snowflake et de ses purchasers de mettre en œuvre et d’appliquer des politiques de sécurité qui empêchent les intrusions résultant du vol des informations d’identification des employés.)
Nous n’avons pas testé les noms d’utilisateur et mots de passe volés automobile cela constituerait une violation de la loi. En tant que tel, on ne sait pas si les informations d’identification sont actuellement utilisées activement ou si elles ont directement conduit à des compromissions de compte ou à des vols de données. Au lieu de cela, nous avons travaillé pour vérifier l’authenticité des informations d’identification exposées par d’autres moyens. Cela inclut la vérification des pages de connexion individuelles des environnements Snowflake qui ont été exposées par le malware voleur d’informations, qui étaient toujours actives et en ligne au second de la rédaction.
Les informations d’identification que nous avons vues incluent l’adresse e-mail (ou le nom d’utilisateur) de l’employé, son mot de passe et l’adresse Internet distinctive pour se connecter à l’environnement Snowflake de son entreprise. Lorsque nous avons vérifié les adresses Internet des environnements Snowflake – souvent composées de lettres et de chiffres aléatoires – nous avons constaté que les pages de connexion des purchasers Snowflake répertoriées sont accessibles au public, même si elles ne peuvent pas être consultées en ligne.
TechCrunch a confirmé que les environnements Snowflake correspondent aux entreprises dont les connexions des employés ont été compromises. Nous avons pu le faire automobile chaque web page de connexion que nous avons vérifiée comportait deux choices distinctes pour se connecter.
Une façon de se connecter repose sur Okta, un fournisseur d’authentification distinctive qui permet aux utilisateurs de Snowflake de se connecter avec les informations d’identification de leur propre entreprise à l’aide de MFA. Lors de nos vérifications, nous avons constaté que ces pages de connexion Snowflake étaient redirigées vers les pages de connexion Reside Nation (pour Ticketmaster) et Santander. Nous avons également trouvé un ensemble d’informations d’identification appartenant à un employé de Snowflake, dont la web page de connexion Okta redirige toujours vers une web page de connexion interne de Snowflake qui n’existe plus.
L’autre possibility de connexion de Snowflake permet à l’utilisateur d’utiliser uniquement son nom d’utilisateur et son mot de passe Snowflake, selon que l’entreprise cliente applique ou non la MFA sur le compte, comme détaillé par Documentation d’help de Snowflake. Ce sont ces informations d’identification qui semblent avoir été volées par le logiciel malveillant voleur d’informations sur les ordinateurs des employés.
On ne sait pas exactement quand les identifiants des employés ont été volés ni depuis combien de temps ils sont en ligne.
Certaines preuves suggèrent que plusieurs employés ayant accès aux environnements Snowflake de leur entreprise ont déjà vu leurs ordinateurs compromis par des logiciels malveillants voleurs d’informations. Selon une vérification du service de notification de violation Have I Been Pwned, plusieurs adresses e-mail d’entreprise utilisées comme noms d’utilisateur pour accéder aux environnements Snowflake ont été trouvées dans un récent vidage de données contenant des tens of millions de mots de passe volés récupéré de divers canaux Telegram utilisés pour partager des mots de passe volés.
La porte-parole de Snowflake, Danica Stanczak, a refusé de répondre aux questions spécifiques de TechCrunch, notamment si les données de ses purchasers ont été trouvées dans le compte démo de l’employé de Snowflake. Dans un communiqué, Snowflake a déclaré qu’il “suspendait certains comptes d’utilisateurs lorsqu’il existe de forts indicateurs d’activité malveillante”.
Snowflake a ajouté : « Dans le cadre du modèle de responsabilité partagée de Snowflake, les purchasers sont responsables de l’software de la MFA avec leurs utilisateurs. » Le porte-parole a déclaré que Snowflake “envisageait toutes les choices pour l’activation de l’AMF, mais nous n’avons finalisé aucun plan pour le second”.
Contactée par e-mail, la porte-parole de Reside Nation, Kaitlyn Henrich, n’a fait aucun commentaire au second de mettre sous presse.
Santander n’a pas répondu à une demande de commentaire.
L’absence de MFA a entraîné d’énormes violations
Jusqu’à présent, la réponse de Snowflake laisse de nombreuses questions sans réponse et met à nu un sure nombre d’entreprises qui ne profitent pas des avantages offerts par la sécurité MFA.
Ce qui est clair, c’est que Snowflake porte au moins une certaine responsabilité en n’exigeant pas de ses utilisateurs qu’ils activent la fonction de sécurité, et en supporte désormais le poids – avec ses purchasers.
La violation de données chez Ticketmaster impliquerait plus de 560 tens of millions de dossiers purchasers, selon les cybercriminels qui font la publicité des données en ligne. (Reside Nation ne fera aucun commentaire sur le nombre de purchasers concernés par la violation.) Si cela était prouvé, Ticketmaster serait la plus grande violation de données aux États-Unis de l’année jusqu’à présent, et l’une des plus importantes de l’histoire récente.
Snowflake est la dernière entreprise en date d’une série d’incidents de sécurité très médiatisés et de violations de données importantes causées par l’absence de MFA.
L’année dernière, les cybercriminels récupéré environ 6,9 tens of millions de dossiers purchasers sur les comptes 23andMe qui n’étaient pas protégés sans MFA, ce qui a incité la société de assessments génétiques — et ses concurrents — pour exiger des utilisateurs activer MFA par défaut pour éviter une nouvelle attaque.
Et plus tôt cette année, le géant des applied sciences de la santé, Change Healthcare, appartenant à UnitedHealth, a admis des pirates ont pénétré dans ses systèmes et volé d’énormes quantités de données de santé sensibles à partir d’un système non protégé par MFA. Le géant de la santé n’a pas encore indiqué combien de personnes ont vu leurs informations compromises, mais a déclaré que cela affecterait probablement une « proportion substantielle de personnes en Amérique ».
En savez-vous plus sur les intrusions dans le compte Snowflake ? Entrer en contact. Pour contacter ce journaliste, contactez Sign et WhatsApp au +1 646-755-8849, ou par electronic mail. Vous pouvez également envoyer des fichiers et des paperwork through SecureDrop.