Filtración de datos de Snowflake: hacker confirma acceso mediante infección con infostealer

 (hudsonrock.com)
1 puntos por GN⁺ 2024-06-01 | 1 comentarios | Compartir por WhatsApp
  • El 31 de mayo de 2024, la empresa de nube Snowflake sufrió una filtración masiva de datos
  • El hacker confirmó a Hudson Rock que obtuvo acceso mediante una infección con infostealer
  • El hacker vendió datos de varias grandes empresas, incluidas Ticketmaster y el banco Santander, en foros rusos de ciberdelincuencia

Método del hackeo

  • El hacker inició sesión en la cuenta de ServiceNow de un empleado de Snowflake usando credenciales robadas.
  • Eludió OKTA para generar un token de sesión y exfiltrar grandes volúmenes de datos.
  • El hacker afirma que unas 400 empresas se vieron afectadas.

Evidencia adicional

  • El hacker compartió con investigadores de Hudson Rock un archivo CSV que muestra acceso a servidores de Snowflake.
  • Este archivo documenta más de 2,000 instancias de clientes relacionadas con los servidores europeos de Snowflake.

Objetivo del hacker

  • El hacker exigió 20 millones de dólares a Snowflake a cambio de recuperar los datos.
  • La empresa no respondió.

Aumento de las infecciones con infostealer

  • Las infecciones con infostealer aumentaron 6000% desde 2018, consolidándose como un vector principal de ataque inicial.
  • Se usan para ejecutar ciberataques que incluyen ransomware, filtración de datos, toma de cuentas y espionaje corporativo.

Opinión de GN⁺

  • Importancia de la ciberseguridad: Este incidente muestra que las empresas deben prestar aún más atención a la ciberseguridad. En especial, es clave la gestión de credenciales de los empleados.
  • La amenaza de los infostealers: Los infostealers se están propagando muy rápido, y las empresas deben preparar medidas de defensa ante esta amenaza.
  • Estrategia de respuesta: Cuando ocurre un incidente de hackeo, se necesita una respuesta rápida y una estrategia para minimizar daños. La respuesta tardía de Snowflake amplió el impacto.
  • Capacitación en seguridad: Es importante reforzar la capacitación en seguridad para que los empleados mejoren la gestión de credenciales y la conciencia frente a ataques de phishing.
  • Soluciones alternativas: Se pueden considerar otras soluciones de almacenamiento en la nube con funciones similares a Snowflake, por ejemplo AWS S3 o Google Cloud Storage.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-06-01
Comentarios de Hacker News
  • Durante la colaboración con Snowflake, un SE (ingeniero de soluciones) configuró un entorno de demostración y utilizó datos del cliente. Parece que el problema ocurrió porque el cliente no gestionó la expiración del ID.
  • El título del artículo y su contenido no coinciden. Parece ser un problema no relacionado con la exposición de datos de clientes, y el número real de clientes afectados es pequeño.
  • Felipe de Snowflake compartió la información más reciente sobre el problema. Se pueden revisar las actualizaciones a través del enlace.
  • La captura de pantalla del registro del chat es impactante. Se afirma que el criminal estaba en comunicación con esta empresa y que, con ayuda de la empresa, pudo evitarse la intrusión.
  • Parece que el sistema de Snowflake está diseñado de manera que una sola cuenta de administrador permite todo el acceso. Esto refuerza la credibilidad de los casos de Ticketmaster y Santander.
  • Snowflake afirma que el problema ocurrió por culpa del cliente. Destaca que la investigación concluyó que no se debió a una vulnerabilidad del producto Snowflake ni a una configuración incorrecta.
  • Según la respuesta oficial de Snowflake, este incidente está relacionado con la exposición de credenciales de usuario de los clientes. No es un problema del producto Snowflake en sí.
  • Se afirma que el incidente de Ticketmaster afectó a más de 400 empresas debido al robo de credenciales de un empleado de Snowflake. También se plantean dudas sobre la confiabilidad de Hudson Rock.
  • Se explica que el actor de amenaza robó la cuenta de ServiceNow de un empleado de Snowflake para eludir OKTA. Se solicita una explicación sobre el rol y la importancia de ServiceNow.
  • Se cuestiona cómo el robo de credenciales de un empleado de Snowflake podría permitir el acceso a datos de clientes. Las expectativas sobre la seguridad de datos de Snowflake son altas.