Атака на «Snowflake» может стать одной из крупнейших утечек данных в истории

На прошлой неделе, благодаряотчёту компании Hudson Rock,стало известно, что на облачную компаниюSnowflakeбыла совершена кибератака, в ходе которой были похищены конфиденциальные данные клиентов Snowflake — компаний TicketmasterиSantander.

Сама Snowflake отреагировала на информацию о потенциальном взломе своих систем крайне негативно, пишет Securitylab. После непродолжительного расследования компания заявила, что её никто не взламывал, а в сторонуHudson Rockбыло направлено требование удалить ИБ-отчёт, так как информация в нём якобы «не соответствует действительности».

Однако, как оказалось позже, — ещё как соответствует. После привлечения к расследованию компанийMandiantиCrowdStrike, оказалось, что злоумышленники действительно пытались получить доступ к учётным записям клиентов Snowflake, используя украденные логины и пароли. Как можно догадаться, им успешно удалось это сделать.

За прошедшие дни в киберпространстве появилось сразу несколько заявлений киберпреступников о продаже украденных данных ещё двух крупных компаний, якобы тоже полученных из систем Snowflake. Одновременно изданиеTechCrunchсообщилоо сотнях паролей клиентов Snowflake, оказавшихся в открытом доступе.

Масштабы атаки на клиентов Snowflake, личности нападавших и работа вредоносного инструмента «rapeflake» пока неясны. Большая часть инцидента с Snowflake разворачивалась на хакерском форуме BreachForums. ФБРзакрыло форумв мае, но он быстро возобновил работу, и члены группыShinyHuntersзаявили о продаже 560 млн записей Tickеtmaster и 30 млн Santander. Вероятно, именно ShinyHunters стоит за взломом Snowflake.

Как Tickеtmaster, так и Santander — быстро подтвердили утечки данных, причём обе указали, что не были взломаны напрямую, а пострадали базы данных у стороннего провайдера, которым, судя по всему, в данной ситуации и является Snowflake.

В последние дни на BreachForums появились сообщения о предполагаемых утечках данных из Advance Auto Parts (380 млн клиентских записей) и LendingTree с дочерней QuoteWizard (190 млн записей). Некоторые опубликованные email-адреса сотрудников и клиентов Advance Auto Parts оказались действительными.

Представитель Advance Auto Parts Дэррил Карр заявил, что компания расследует возможную утечку, связанную со Snowflake. LendingTree пока не прокомментировала ситуацию.

Snowflake в своём блоге признала, что учётные записи попали в руки злоумышленников из-за использования логинов и паролей, похищенных инфостилерами. Компания не нашла доказательств компрометации своих сотрудников и выявила доступ только к демо-аккаунту бывшего работника. Однако, судя по масштабу утечек, необходимый уровень доступа у хакеров всё же есть.

Инцидент показывает тесную интеграцию компаний, использующих сторонние сервисы. По словам эксперта Тори Ханта, это признание того, насколько сложно в современных цифровых реалиях контролировать безопасность сторонних поставщиков.

В ответ на атаки Snowflake рекомендовала клиентам включить многофакторную аутентификацию и разрешить доступ только из авторизованных источников. Компаниям, пострадавшим от утечек, следует сбросить свои пароли Snowflake.