Vazamento de dados da Snowflake: hackers confirmam acesso por meio de infecção por infostealer

 (hudsonrock.com)
1 pontos por GN⁺ 2024-06-01 | 1 comentários | Compartilhar no WhatsApp
  • Em 31 de maio de 2024, a empresa de nuvem Snowflake sofreu um grande vazamento de dados
  • Os hackers confirmaram à Hudson Rock que obtiveram acesso por meio de uma infecção por infostealer
  • Os hackers venderam dados de várias grandes empresas, incluindo Ticketmaster e o banco Santander, em um fórum russo de cibercrime

Método do ataque

  • Os hackers fizeram login na conta ServiceNow de um funcionário da Snowflake usando credenciais roubadas.
  • Eles burlaram o Okta para gerar tokens de sessão e exfiltrar grandes volumes de dados.
  • Os hackers afirmam que cerca de 400 empresas foram afetadas.

Evidências adicionais

  • Os hackers compartilharam com pesquisadores da Hudson Rock um arquivo CSV que mostra acesso aos servidores da Snowflake.
  • O arquivo documenta mais de 2.000 instâncias de clientes relacionadas aos servidores europeus da Snowflake.

Objetivo dos hackers

  • Os hackers exigiram US$ 20 milhões da Snowflake em troca da recuperação dos dados.
  • A empresa não respondeu a isso.

Aumento das infecções por infostealer

  • As infecções por infostealer aumentaram 6000% desde 2018, tornando-se um dos principais vetores de ataque inicial.
  • Isso é usado para executar ataques cibernéticos, incluindo ransomware, vazamento de dados, sequestro de contas e espionagem corporativa.

Opinião do GN⁺

  • Importância da cibersegurança: este caso mostra que as empresas precisam dar ainda mais atenção à cibersegurança. Em especial, a gestão das credenciais dos funcionários é crucial.
  • Ameaça dos infostealers: os infostealers estão se espalhando muito rapidamente, e as empresas precisam preparar medidas de defesa contra isso.
  • Estratégia de resposta: quando ocorre um incidente de invasão, é necessária uma resposta rápida e uma estratégia para minimizar os danos. A resposta tardia da Snowflake ampliou o impacto.
  • Treinamento de segurança: é importante reforçar o treinamento de segurança dos funcionários para aumentar a conscientização sobre gestão de credenciais e ataques de phishing.
  • Soluções alternativas: é possível considerar outras soluções de armazenamento em nuvem com recursos semelhantes aos da Snowflake, como AWS S3 ou Google Cloud Storage.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-06-01
Comentários do Hacker News
  • Durante a colaboração com a Snowflake, um SE (engenheiro de soluções) configurou um ambiente de demonstração e usou dados de clientes. Parece ter sido um problema causado porque o cliente não gerenciou a expiração do ID.
  • O título e o conteúdo da matéria não batem. Parece ser um problema sem relação com exposição de dados de clientes, e o número real de clientes comprometidos é pequeno.
  • Felipe, da Snowflake, compartilhou as informações mais recentes sobre o problema. É possível verificar o conteúdo atualizado pelo link.
  • A captura de tela do log de chat é impressionante. O criminoso está em contato com a empresa e afirma que, com a ajuda dela, conseguiu evitar a violação.
  • O sistema da Snowflake parece ter sido projetado de forma que uma única conta de administrador permita todo o acesso. Isso aumenta a credibilidade dos casos da Ticketmaster e do Santander.
  • A Snowflake afirma que o problema ocorreu por culpa do cliente. A pesquisa enfatiza que não foi causado por uma vulnerabilidade do produto Snowflake nem por configuração incorreta.
  • Segundo a resposta oficial da Snowflake, este incidente está relacionado à exposição das credenciais de usuários dos clientes. Não é um problema do produto Snowflake em si.
  • Há a alegação de que o incidente na Ticketmaster afetou mais de 400 empresas devido ao roubo das credenciais de um funcionário da Snowflake. Também foram levantadas dúvidas sobre a confiabilidade da Hudson Rock.
  • Foi explicado que o agente da ameaça roubou a conta de ServiceNow de um funcionário da Snowflake para contornar o OKTA. Houve um pedido de explicação sobre o papel e a importância do ServiceNow.
  • Foi levantada uma dúvida sobre como seria possível acessar dados de clientes roubando as credenciais de um funcionário da Snowflake. A expectativa em relação à segurança de dados da Snowflake é alta.