Snowflake niega la violación de datos y dice que el robo de datos se debió a una seguridad insuficiente de las cuentas de los clientes


Snowflake cuestiona las afirmaciones de los actores de amenazas de que robó datos de Santander y Ticketmaster, insistiendo en que el robo de datos de los clientes fue el resultado del robo de las credenciales de inicio de sesión de los clientes.

La compañía de nube Snowflake dijo en una actualización de advertencia del viernes sobre ataques basados ​​en identidad dirigidos a clientes que está “consciente de informes recientes de un posible compromiso del entorno de producción de Snowflake”.

“No hay evidencia de que esta actividad haya sido causada por una vulnerabilidad, mala configuración o compromiso de los productos Snowflake”.

organizar las cosas

La compañía confirmó el viernes que los atacantes que utilizaron credenciales previamente comprometidas accedieron a algunas cuentas de clientes. La empresa notificó a los clientes afectados, compartió indicadores de una infracción y brindó recomendaciones para ayudar a proteger sus cuentas.

Los investigadores de Mitiga publicaron sobre cómo los clientes de Snowflake realizan la búsqueda de amenazas, lo que proporcionó más información sobre el ataque. Los atacantes violaron cuentas que no tenían habilitada la autenticación de dos factores, obtuvieron datos almacenados en la nube y extorsionaron a las organizaciones afectadas.

Los investigadores de Hudson Rock también publicaron un informe que reitera las afirmaciones del actor de amenazas de que robaron las credenciales de inicio de sesión de los empleados de Snowflake y se infiltraron en la infraestructura de Snowflake. Desde entonces, la publicación del blog se eliminó, pero se puede encontrar una versión archivada aquí. (Nos comunicamos con Hudson Rock para averiguar por qué se eliminó y actualizaremos este artículo una vez que recibamos una respuesta).

Brad Jones, CISO de Snowflake, negó las afirmaciones de los actores de amenazas en general y refutó algunas afirmaciones específicas.

“De manera similar a las cuentas de clientes afectadas, hemos encontrado evidencia de que los actores de amenazas obtuvieron y accedieron a credenciales personales para cuentas de demostración propiedad de ex empleados de Snowflake”, afirmó que no contenían datos confidenciales y no estaban conectados a los sistemas corporativos o de producción de Snowflake.

“La cuenta de demostración era accesible porque no estaba detrás de Okta o MFA, a diferencia de los sistemas corporativos y de producción de Snowflake”, señaló, y agregó que “no se podía acceder a las credenciales del cliente desde el entorno de producción de Snowflake. No existe una ‘interfaz de programación de aplicaciones maestra’ (API). )’ o ruta para que se filtre.”

Confirman robo de datos de Santander y Ticketmaster

Los atacantes también afirmaron que pudieron obtener datos del Banco Santander y Ticketmaster infiltrándose en los servidores de Snowflake.

Santander confirmó previamente que los atacantes accedieron a una de sus bases de datos alojadas por un proveedor externo, pero no nombraron a Snowflake.

La empresa matriz de Ticketmaster, Live Nation Entertainment, dijo a la Comisión de Bolsa y Valores que había “identificado actividad no autorizada dentro de un entorno de base de datos en la nube de terceros que contiene los datos de la empresa (principalmente los de su filial Ticketmaster LLC) y hemos iniciado una investigación con la industria. -liderando a los investigadores forenses para entender lo que pasó.”

Un portavoz de Ticketmaster le dijo más tarde a TechCrunch que la base de datos está alojada en Snowflake.

El investigador de seguridad Kevin Beaumont dice que seis organizaciones importantes están “realizando incidentes cibernéticos tipo copo de nieve”.

Actualizado (2 de junio de 2024, 1:10 p.m. ET):

Snowflake ha contratado a Crowdstrike y Mandiant para ayudar con la respuesta a incidentes cibernéticos.

Las tres compañías emitieron una declaración conjunta sobre los hallazgos preliminares de la investigación, afirmando que el incidente fue causado por una vulnerabilidad, una mala configuración, un compromiso de la plataforma de Snowflake o las credenciales comprometidas de un empleado actual o anterior de Snowflake. Afirma que no se ha encontrado evidencia de esto. encontró.

Reiteraron que hay evidencia de que el actor de amenazas obtuvo las credenciales personales de un ex empleado de Snowflake y accedió a una cuenta de demostración, pero que la cuenta no está conectada a los sistemas corporativos o de producción de la empresa.

“A lo largo del proceso de investigación, Snowflake notificó rápidamente a un número limitado de clientes de Snowflake que creía que podían haber sido afectados. Mandiant también participó en actividades de divulgación con organizaciones que podrían haber sido afectadas”, agregó.

Actualizado (5 de junio de 2024, 8:25 p.m. ET):

Hudson Rock anunció que había eliminado la publicación del blog luego de una carta que recibió del abogado general de Snowflake.

DataBreaches habló con el grupo ShinyHunters, que afirma estar detrás de las infracciones de Santander y Ticketmaster, y dicen que la información y las pruebas proporcionadas por los actores de amenazas a Hudson Rock son en gran medida falsas. (Por supuesto, no sé si ShinyHunters está diciendo la verdad o no)



Fuente: https://www.helpnetsecurity.com/2024/06/01/snowflake-breach-data-theft/