Fuite de données chez Snowflake : des hackers confirment un accès via une infection par infostealer

 (hudsonrock.com)
1 points par GN⁺ 2024-06-01 | 1 commentaires | Partager sur WhatsApp
  • Le 31 mai 2024, l’entreprise cloud Snowflake a subi une fuite massive de données
  • Les hackers ont confirmé à Hudson Rock qu’ils avaient obtenu l’accès via une infection par infostealer
  • Les hackers ont vendu sur des forums cybercriminels russophones les données de plusieurs grandes entreprises, dont Ticketmaster et la banque Santander

Méthode de piratage

  • Les hackers se sont connectés au compte ServiceNow d’un employé de Snowflake en utilisant des identifiants volés.
  • Ils ont contourné Okta pour générer un jeton de session et exfiltrer un grand volume de données.
  • Les hackers affirment qu’environ 400 entreprises ont été touchées.

Éléments de preuve supplémentaires

  • Les hackers ont partagé avec les chercheurs de Hudson Rock un fichier CSV montrant leur accès aux serveurs de Snowflake.
  • Ce fichier documente plus de 2 000 instances clients liées aux serveurs européens de Snowflake.

Objectif des hackers

  • Les hackers ont réclamé 20 millions de dollars à Snowflake pour récupérer les données.
  • L’entreprise n’a pas répondu.

Hausse des infections par infostealer

  • Les infections par infostealer ont augmenté de 6 000 % depuis 2018, devenant un vecteur d’attaque initial majeur.
  • Elles sont utilisées pour mener des cyberattaques, notamment des ransomwares, des fuites de données, des détournements de comptes et de l’espionnage d’entreprise.

L’avis de GN⁺

  • Importance de la cybersécurité : cet incident montre que les entreprises doivent accorder encore plus d’attention à la cybersécurité. La gestion des identifiants des employés est particulièrement cruciale.
  • Menace des infostealers : les infostealers se propagent très rapidement, et les entreprises doivent mettre en place des mesures de préparation adaptées.
  • Stratégie de réponse : en cas de piratage, une réaction rapide et une stratégie de limitation des dommages sont nécessaires. La réponse tardive de Snowflake a aggravé l’impact.
  • Formation à la sécurité : il est important de renforcer la formation des employés afin d’améliorer la gestion des identifiants et la sensibilisation aux attaques de phishing.
  • Solutions alternatives : il peut être pertinent d’envisager d’autres solutions de stockage cloud offrant des fonctions similaires à Snowflake, comme AWS S3 ou Google Cloud Storage.

À lire aussi

1 commentaires

 
GN⁺ 2024-06-01
Avis Hacker News
  • Dans le cadre de sa collaboration avec Snowflake, un SE (ingénieur solutions) a mis en place un environnement de démonstration en utilisant des données client. Le problème semble venir du fait que le client n’a pas géré l’expiration des identifiants.
  • Le titre de l’article ne correspond pas à son contenu. Il semble qu’il ne s’agisse pas d’un problème lié à l’exposition de données clients, et que le nombre réel de clients compromis soit limité.
  • Felipe de Snowflake partage les dernières informations sur le problème. Le lien permet de consulter les mises à jour.
  • La capture d’écran des journaux de discussion est frappante. Un criminel serait en communication avec l’entreprise et affirme qu’avec son aide, l’intrusion aurait pu être empêchée.
  • Le système Snowflake semble conçu de manière à ce qu’un seul compte administrateur permette tous les accès. Cela renforce la crédibilité des affaires Ticketmaster et Santander.
  • Snowflake affirme que le problème est dû à une erreur des clients. Les recherches soulignent qu’il ne s’agit ni d’une vulnérabilité du produit Snowflake ni d’une mauvaise configuration.
  • Selon la réponse officielle de Snowflake, cet incident est lié à l’exposition des identifiants utilisateurs des clients. Il ne s’agit pas d’un problème propre au produit Snowflake.
  • Certains affirment que la compromission de Ticketmaster, qui aurait touché plus de 400 entreprises, serait due au vol des identifiants d’un employé de Snowflake. Des doutes sont émis sur la fiabilité de Hudson Rock.
  • Il est expliqué que l’acteur de la menace a contourné OKTA en usurpant le compte ServiceNow d’un employé de Snowflake. Une explication est demandée sur le rôle et l’importance de ServiceNow.
  • Des doutes sont exprimés sur le fait qu’il soit possible d’accéder aux données clients en volant les identifiants d’un employé de Snowflake. Les attentes en matière de sécurité des données chez Snowflake sont élevées.