Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Атака на «Snowflake» может стать одной из крупнейших утечек данных в истории

07/06/24

images (70)

На прошлой неделе, благодаря отчёту компании Hudson Rock, стало известно, что на облачную компанию Snowflake была совершена кибератака, в ходе которой были похищены конфиденциальные данные клиентов Snowflake — компаний Ticketmaster и Santander.

Сама Snowflake отреагировала на информацию о потенциальном взломе своих систем крайне негативно, пишет Securitylab. После непродолжительного расследования компания заявила, что её никто не взламывал, а в сторону Hudson Rock было направлено требование удалить ИБ-отчёт, так как информация в нём якобы «не соответствует действительности».

Однако, как оказалось позже, — ещё как соответствует. После привлечения к расследованию компаний Mandiant и CrowdStrike, оказалось, что злоумышленники действительно пытались получить доступ к учётным записям клиентов Snowflake, используя украденные логины и пароли. Как можно догадаться, им успешно удалось это сделать.

За прошедшие дни в киберпространстве появилось сразу несколько заявлений киберпреступников о продаже украденных данных ещё двух крупных компаний, якобы тоже полученных из систем Snowflake. Одновременно издание TechCrunch сообщило о сотнях паролей клиентов Snowflake, оказавшихся в открытом доступе.

Масштабы атаки на клиентов Snowflake, личности нападавших и работа вредоносного инструмента «rapeflake» пока неясны. Большая часть инцидента с Snowflake разворачивалась на хакерском форуме BreachForums. ФБР закрыло форум в мае, но он быстро возобновил работу, и члены группы ShinyHunters заявили о продаже 560 млн записей Tickеtmaster и 30 млн Santander. Вероятно, именно ShinyHunters стоит за взломом Snowflake.

Как Tickеtmaster, так и Santander — быстро подтвердили утечки данных, причём обе указали, что не были взломаны напрямую, а пострадали базы данных у стороннего провайдера, которым, судя по всему, в данной ситуации и является Snowflake.

В последние дни на BreachForums появились сообщения о предполагаемых утечках данных из Advance Auto Parts (380 млн клиентских записей) и LendingTree с дочерней QuoteWizard (190 млн записей). Некоторые опубликованные email-адреса сотрудников и клиентов Advance Auto Parts оказались действительными.

Представитель Advance Auto Parts Дэррил Карр заявил, что компания расследует возможную утечку, связанную со Snowflake. LendingTree пока не прокомментировала ситуацию.

Snowflake в своём блоге признала, что учётные записи попали в руки злоумышленников из-за использования логинов и паролей, похищенных инфостилерами. Компания не нашла доказательств компрометации своих сотрудников и выявила доступ только к демо-аккаунту бывшего работника. Однако, судя по масштабу утечек, необходимый уровень доступа у хакеров всё же есть.

Инцидент показывает тесную интеграцию компаний, использующих сторонние сервисы. По словам эксперта Тори Ханта, это признание того, насколько сложно в современных цифровых реалиях контролировать безопасность сторонних поставщиков.

В ответ на атаки Snowflake рекомендовала клиентам включить многофакторную аутентификацию и разрешить доступ только из авторизованных источников. Компаниям, пострадавшим от утечек, следует сбросить свои пароли Snowflake.

Темы:ПреступленияCrowdstrikeХакерские атакихищение данныхMandiant
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...