Расследованием инцидента занимается компания Mandiant, пишет Securitylab. В своем блоге Mandiant сообщила, что в некоторых случаях злоумышленники получили доступ через подрядчиков, не уточняя, каких именно.
Тем не менее, один из хакеров, общавшийся с Wired, назвал EPAM Systems одной из таких компаний. По словам хакера, группа ShinyHunters использовала данные, найденные в системе сотрудника EPAM, чтобы получить доступ к учетным записям Snowflake.
EPAM Systems отвергла свою причастность ко взломам, назвав заявления хакеров ложью. Однако, по словам хакера, доступ к учетным записям Snowflake был получен через заражение компьютера сотрудника EPAM в Украине с помощью вредоносного ПО. На компьютере были найдены незашифрованные логины и пароли, которые использовались для управления учетными записями клиентов Snowflake, в том числе и Ticketmaster.
Кроме того, оказалось, что в учетных записях Snowflake отсутствовала многофакторная аутентификация, что позволило хакерам получить доступ через логины и пароли. Это еще раз подчеркивает важность использования многофакторной аутентификации для защиты данных.
Компании Snowflake и EPAM Systems продолжают расследование инцидента. Snowflake заявила о планах внедрить обязательное использование многофакторной аутентификации для всех своих клиентов в ближайшее время, чтобы предотвратить подобные инциденты в будущем.
Ситуация также обострила внимание к растущим рискам безопасности, связанным с использованием сторонних подрядчиков и вредоносного ПО. Mandiant указала на значительные риски, которые представляют подрядчики, имеющие доступ к системам множества клиентов.
Компрометация одного устройства подрядчика может дать злоумышленникам доступ к данным многих организаций. Стоит отметить, что помимо Ticketmaster и Santander от компрометации аккаунтов Snowflake пострадали также компании Neiman Marcus, LendingTree, Advance Auto Parts и Pure Storage.