Los últimos analistas de seguridad de la información de Hudson Rock dicen que Snowflake fue violado por intrusos que utilizaron la violación para robar datos de cientos de millones de personas de Ticketmaster, Santander y otros clientes del proveedor de análisis y almacenamiento en la nube. Snowflake niega que se haya violado la seguridad.
Esta semana, uno o más estafadores llamados ShinyHunters fueron vistos vendiendo lo que parece ser 1,3 TB de datos robados de Ticketmaster en foros clandestinos. Se dice que este tesoro de datos, disponible por 500.000 dólares, contiene los registros de 560 millones de clientes de Ticketmaster. Esto incluye su nombre, dirección de correo electrónico, número de teléfono, dirección, detalles de la transacción y cierta información de la tarjeta de pago.
La empresa matriz de Ticketmaster, Live Nation, confirmó hoy en una presentación ante los reguladores de valores de EE. UU. que ha “identificado actividad fraudulenta dentro de un entorno de base de datos en la nube de terceros que contiene datos corporativos”.
“El 27 de mayo de 2024, los delincuentes vendieron supuestos datos de usuarios de la empresa a través de la web oscura”, añadió la empresa. “Estamos trabajando para reducir los riesgos para nuestros usuarios y para nosotros notificando y cooperando con las autoridades encargadas de hacer cumplir la ley y, según corresponda, notificando a los reguladores y usuarios sobre el acceso no autorizado a información personal”.
ShinyHunters también vende información supuestamente robada del banco internacional Santander por 2 millones de dólares. Se dice que el volcado de datos contiene detalles de 30 millones de titulares de cuentas, 28 millones de números de tarjetas, archivos personales internos y otros registros.
Santander reconoció la violación a principios de este mes y dijo que la violación de seguridad afectó a los clientes de Santander en Chile, España y Uruguay, así como a todos los empleados actuales y algunos ex empleados. Santander emplea aproximadamente a 200.000 personas en todo el mundo.
“Recientemente nos enteramos de un acceso no autorizado a la base de datos de Santander alojada por un proveedor externo”, dijo el banco en un comunicado. “Obviamente, nos disculpamos por cualquier preocupación que esto pueda causar. Nos estamos comunicando directamente con los clientes y empleados afectados. También estamos notificando a los reguladores y a las autoridades. Continuaremos trabajando en estrecha colaboración”.
“El más grande jamás visto”
Hoy, Hudson Rock afirmó que toda la información de Ticketmaster y Santander, y probablemente de cientos de otras organizaciones, fue robada de un proveedor en particular: Snowflake. Hudson Locke dijo que llegó a esta conclusión después de hablar con delincuentes que afirmaron haber cometido el ciberrobo.
Snowflake proporciona servicios de análisis y almacenamiento de datos en la nube a muchas grandes empresas de todo el mundo. La intrusión y exfiltración de datos de Snowflake, que Hudson describió como “una de las mayores violaciones de datos de la historia”, comenzó en octubre cuando se utilizó malware de robo de información para obtener información de inicio de sesión de los empleados de Snowflake. creer Era Luma.
Estas credenciales supuestamente se utilizaron para iniciar sesión en las cuentas laborales de ServiceNow de los empleados, aparentemente sin pasar por el sistema de gestión de acceso basado en Okta de Snowflake. Después de la infracción, los delincuentes generaron tokens de sesión y los utilizaron para robar grandes cantidades de datos de clientes de los sistemas de Snowflake, aparentemente con la intención de exigir un rescate de 20 millones de dólares. Incluso si Snowflake estuviera efectivamente comprometido, parece que no se pagó ningún rescate.
Las comunicaciones entre Hudson y los sospechosos sugieren que hasta 400 clientes de Snowflake pueden haber estado involucrados en la violación de seguridad.
No creemos que esta actividad sea causada por una vulnerabilidad, una mala configuración o una actividad maliciosa dentro del producto Snowflake.
Sin embargo, Snowflake negó muchas de las afirmaciones hechas en la divulgación de Hudson en un comunicado el viernes. Según la casa de almacenamiento en la nube, si se robó algo de sus servidores, se hizo a través de las cuentas individuales en la nube de los clientes utilizando información de inicio de sesión robada por otros medios, y Snowflake no se debe a ningún agujero, debilidad o error de su parte.
“Snowflake ha observado e investigado recientemente un aumento en la actividad de amenazas cibernéticas dirigidas a algunas de las cuentas de nuestros clientes. Creemos que esto es el resultado de un ataque base”, dijo la compañía.
“Nuestra investigación muestra que este tipo de ataques se llevaron a cabo utilizando las credenciales de usuario de nuestros clientes que quedaron expuestas por una operación de amenaza cibernética no relacionada”.
“Hasta la fecha, no creemos que esta actividad haya sido causada por una vulnerabilidad, una mala configuración o una actividad maliciosa dentro del producto Snowflake”, dijo la compañía, y agregó que “hasta la fecha, no creemos que esta actividad haya sido causada por una vulnerabilidad, una mala configuración , o actividad maliciosa dentro del producto Snowflake”. Agregó que se había puesto en contacto con los clientes.
“Snowflake es un producto en la nube y cualquiera puede registrarse para obtener una cuenta en cualquier momento. Si un actor de amenazas obtiene las credenciales de un cliente, podría potencialmente obtener acceso a la cuenta”.
Además, la compañía dijo: “Snowflake no cree que sea la fuente de las credenciales de los clientes comprometidas”.
Snowflake, que celebrará su propia conferencia Data Summit la próxima semana, reconoció que había encontrado evidencia de que actores maliciosos habían accedido a la cuenta de demostración de un ex empleado, pero la cuenta no estaba conectada a los sistemas corporativos o de producción de la empresa. contener datos sensibles porque no lo había hecho.
Snowflake agregó que se podía acceder a las cuentas porque, a diferencia de otros sistemas, no estaban protegidas por Okta ni por la autenticación multifactor.
El argumento de Snowflake parece ser que las cuentas de demostración comprometidas no podrían usarse para atacar a Ticketmaster y otros. Le preguntamos a Hudson Locke qué piensa sobre la respuesta de Snowflake. ®
Actualización adicional el 3 de junio
Hudson Rock desconectó el informe tras la presión legal de Snowflake.
Fuente: https://www.theregister.com/AMP/2024/05/31/snowflake_breach_report/