Pesquisadores de segurança dizem acreditar que cibercriminosos com motivação financeira roubaram um “volume significativo de dados” de centenas de clientes que hospedam seus vastos bancos de dados com o gigante de armazenamento em nuvem Snowflake.
A empresa de resposta a incidentes Mandiant, que está trabalhando com Snowflake para investigar a recente onda de roubos de dados, disse em uma postagem de blog na segunda-feira que as duas empresas notificaram cerca de 165 clientes de que seus dados podem ter sido roubados.
É a primeira vez que o número de clientes afetados do Snowflake é divulgado desde que os hacks de contas começaram em abril. A Snowflake pouco disse até agora sobre os ataques, apenas que um “número limitado” de seus clientes foi afetado. A gigante dos dados em nuvem tem mais de 9.800 clientes corporativos, como organizações de saúde, gigantes do varejo e algumas das maiores empresas de tecnologia do mundo, que usam o Snowflake para análise de dados.
Até agora, apenas Ticketmaster e LendingTree confirmaram roubos de dados onde seus dados roubados estavam hospedados no Snowflake. Vários outros clientes do Snowflake dizem que estão atualmente investigando possíveis roubos de dados de seus ambientes Snowflake.
Mandiant disse que a campanha de ameaças está “em andamento”, sugerindo que o número de clientes corporativos da Snowflake que relatam roubo de dados pode aumentar.
Em sua postagem no blog, Mandiant atribuiu os hacks de contas ao UNC5537, uma gangue cibercriminosa ainda não classificada que a empresa de segurança diz ser motivada por ganhar dinheiro. A gangue, que a Mandiant diz incluir membros na América do Norte e pelo menos um membro na Turquia, tenta extorquir suas vítimas para que paguem para recuperar seus arquivos ou para impedir a divulgação pública dos dados de seus clientes.
A Mandiant confirmou que os ataques – que dependem do uso de “credenciais roubadas para acessar a instância Snowflake do cliente e, em última análise, exfiltrar dados valiosos” – datam de pelo menos 14 de abril, quando seus pesquisadores identificaram pela primeira vez evidências de acesso indevido ao ambiente de um cliente Snowflake não identificado. . A Mandiant disse que notificou a Snowflake sobre invasões às contas de seus clientes em 22 de maio.
A empresa de segurança disse que a maioria das credenciais roubadas usadas pelo UNC5537 estavam “disponíveis em infecções históricas de infostealer”, com algumas datando de 2020. As descobertas da Mandiant confirme a divulgação limitada do Snowflakeque afirmou que não houve uma violação direta dos próprios sistemas da Snowflake, mas culpou as contas de seus clientes por não usarem autenticação multifator (MFA).
Na semana passada, o TechCrunch descobriu centenas de credenciais de clientes Snowflake circulando on-line roubadas por malware que infectou os computadores de funcionários que têm acesso ao ambiente Snowflake de seus empregadores. O número de credenciais disponíveis online vinculadas a ambientes Snowflake sugere um risco contínuo para os clientes que ainda não alteraram suas senhas ou habilitaram a MFA.
A Mandiant disse que também viu “centenas de credenciais de clientes do Snowflake expostas por meio de infostealers”.
Por sua vez, a Snowflake não exige que seus clientes usem por padrão ou imponham o uso do recurso de segurança. Numa breve atualização na sexta-feira, a Snowflake disse que está “desenvolvendo um plano” para impor o uso de MFA nas contas de seus clientes, mas ainda não forneceu um cronograma.
A porta-voz da Snowflake, Danica Stanczak, se recusou a dizer por que a empresa não redefiniu as senhas dos clientes ou aplicou o MFA. Snowflake não comentou imediatamente a postagem do blog da Mandiant na segunda-feira.
Você sabe mais sobre as invasões de contas do Snowflake? Entrar em contato. Para entrar em contato com este repórter, entre em contato pelo Signal e WhatsApp pelo telefone +1 646-755-8849, ou por e-mail. Você também pode enviar arquivos e documentos via SecureDrop.
