Debesų duomenų analizės įmonė „Snowflake“ yra pastarojo meto tariamų duomenų vagysčių bangos centre, nes jos verslo klientai stengiasi suprasti, ar jų debesų duomenų saugyklos nebuvo pažeistos.
Bostone įsikūrusi duomenų milžinė padeda kai kurioms didžiausioms pasaulio korporacijoms, įskaitant bankus, sveikatos priežiūros paslaugų teikėjus ir technologijų įmones, debesyje saugoti ir analizuoti didžiulius duomenų kiekius, pvz., klientų duomenis.
Praėjusią savaitę Australijos valdžios institucijos paskelbė pavojaus signalą, sakydamos, kad sužinojo apie „sėkmingą kelių įmonių, naudojančių Snowflake“ aplinką, kompromisus, neįvardindamos įmonių. Žinomame kibernetinių nusikaltimų forume įsilaužėliai pareiškė pavogę šimtus milijonų klientų įrašų iš Santander banko ir „Ticketmaster“, dviejų didžiausių „Snowflake“ klientų. Santander patvirtino, kad buvo pažeista duomenų bazė, „priglobta trečiosios šalies teikėjo“, tačiau neįvardijo aptariamo teikėjo. Penktadienį „Live Nation“ patvirtino, kad į jos dukterinę įmonę „Ticketmaster“ buvo įsilaužta ir kad pavogta duomenų bazė buvo talpinama „Snowflake“.
„Snowflake“ trumpame pareiškime pripažino, kad žinojo apie „galimai neteisėtą prieigą“ prie „riboto skaičiaus“ klientų paskyrų, nenurodydamas, kurios iš jų, tačiau nerado jokių įrodymų, kad buvo tiesioginis jos sistemų pažeidimas. Atvirkščiai, Snowflake pavadino tai „tiksline kampanija, nukreipta į vartotojus, turinčius vieno veiksnio autentifikavimą“ ir kad įsilaužėliai naudojo „anksčiau įsigytą arba gautą per informacijos vagystę“, skirtą išgryninti vartotojo išsaugotus slaptažodžius iš jų kompiuterio.
Nepaisant neskelbtinų duomenų, kuriuos „Snowflake“ saugo savo klientams, „Snowflake“ leidžia kiekvienam klientui valdyti savo aplinkos saugumą ir automatiškai nereikalauja, kad klientai naudotų kelių veiksnių autentifikavimą arba MFA, remiantis „Snowflake“ klientų dokumentais. Atrodo, kad MFA nenaudojimas yra tai, kaip kibernetiniai nusikaltėliai tariamai iš kai kurių „Snowflake“ klientų gavo didžiulius duomenų kiekius, kai kurie iš jų sukūrė savo aplinką be papildomos saugumo priemonės.
„Snowflake“ pripažino, kad viena iš jos „demo“ paskyrų buvo pažeista, nes nebuvo apsaugota tik vartotojo vardu ir slaptažodžiu, tačiau tvirtino, kad paskyroje „nebuvo slaptų duomenų“. Neaišku, ar ši pavogta demonstracinė sąskaita turėjo kokį nors vaidmenį atliekant naujausius pažeidimus.
„TechCrunch“ šią savaitę matė šimtus tariamų „Snowflake“ klientų kredencialų, kuriuos internete gali naudoti kibernetiniai nusikaltėliai kaip įsilaužimo kampanijų dalis, o tai rodo, kad „Snowflake“ klientų paskyrų pažeidimo rizika gali būti daug didesnė, nei buvo žinoma iš pradžių.
Kredencialus pavogė informacijos vagystė kenkėjiška programa, kuri užkrėtė darbuotojų, turinčių prieigą prie darbdavio „Snowflake“ aplinkos, kompiuterius.
Atrodo, kad kai kurie „TechCrunch“ pastebėti įgaliojimai priklauso įmonių, žinomų kaip „Snowflake“ klientai, darbuotojams, įskaitant „Ticketmaster“ ir „Santander“ ir kt. Darbuotojai, turintys prieigą prie Snowflake, yra duomenų bazių inžinieriai ir duomenų analitikai, kai kurie iš jų nurodo savo patirtį naudojant Snowflake savo LinkedIn puslapiuose.
Savo ruožtu „Snowflake“ liepė klientams nedelsiant įjungti MFA savo paskyroms. Iki tol „Snowflake“ paskyros, kurios nenaudoja MFA prisijungimui, kelia pavojų saugomiems duomenims dėl paprastų atakų, pvz., slaptažodžio vagystės ir pakartotinio naudojimo.
Kaip mes tikrinome duomenis
Šaltinis, turintis žinių apie kibernetines nusikalstamas operacijas, nurodė „TechCrunch“ į svetainę, kurioje potencialūs užpuolikai gali ieškoti prisijungimo duomenų, kurie buvo pavogti iš įvairių šaltinių, pvz., informacijos vagystės kieno nors kompiuteryje, kenkėjiškų programų arba surinktų iš ankstesnių duomenų pažeidimų, sąrašuose. („TechCrunch“ nenurodo nuorodos į svetainę, kurioje yra pavogti kredencialai, kad nepadėtų blogiems aktoriams.)
Iš viso „TechCrunch“ matė daugiau nei 500 kredencialų, kuriuose yra darbuotojų naudotojų vardai ir slaptažodžiai, kartu su atitinkamų „Snowflake“ aplinkų prisijungimo puslapių adresais.
Atrodo, kad atskleisti įgaliojimai yra susiję su „Snowflake“ aplinka, priklausančia „Santander“, „Ticketmaster“, mažiausiai dviem farmacijos milžinams, maisto pristatymo tarnybai, valstybiniam gėlo vandens tiekėjui ir kt. Taip pat matėme atskleistus vartotojo vardus ir slaptažodžius, tariamai priklausančius buvusiam Snowflake darbuotojui.
„TechCrunch“ neįvardija buvusio darbuotojo, nes nėra įrodymų, kad jie padarė ką nors blogo. (Galų gale, „Snowflake“ ir jos klientai yra atsakingi už saugumo politikos, kuri užkerta kelią įsibrovimams dėl darbuotojų kredencialų vagystės, įgyvendinimą ir vykdymą.)
Mes netikrinome pavogtų vartotojo vardų ir slaptažodžių, nes tai pažeistų įstatymą. Todėl nežinoma, ar kredencialai šiuo metu aktyviai naudojami, ar jie tiesiogiai lėmė paskyros pažeidimą ar duomenų vagystes. Vietoj to stengėmės kitais būdais patikrinti atskleistų kredencialų autentiškumą. Tai apima atskirų „Snowflake“ aplinkos prisijungimo puslapių, kuriuos paveikė informacinės vagystės kenkėjiškos programos, tikrinimą, kurie rašymo metu vis dar buvo aktyvūs ir prisijungę.
Kredencialai, kuriuos matėme, apima darbuotojo el. pašto adresą (arba vartotojo vardą), slaptažodį ir unikalų interneto adresą, skirtą prisijungti prie įmonės „Snowflake“ aplinkos. Kai patikrinome „Snowflake“ aplinkos žiniatinklio adresus, dažnai sudarytus iš atsitiktinių raidžių ir skaičių, nustatėme, kad išvardyti „Snowflake“ klientų prisijungimo puslapiai yra viešai prieinami, net jei jų negalima ieškoti internete.
„TechCrunch“ patvirtino, kad „Snowflake“ aplinkos atitinka įmones, kurių darbuotojų prisijungimai buvo pažeisti. Mums pavyko tai padaryti, nes kiekviename patikrintame prisijungimo puslapyje buvo dvi atskiros prisijungimo parinktys.
Vienas iš prisijungimo būdų priklauso nuo „Okta“, vieno prisijungimo teikėjo, leidžiančio „Snowflake“ vartotojams prisijungti naudojant savo įmonės įmonės kredencialus naudojant MFA. Atlikę patikras nustatėme, kad šie „Snowflake“ prisijungimo puslapiai buvo nukreipti į „Live Nation“ (skirta „Ticketmaster“) ir „Santander“ prisijungimo puslapius. Taip pat radome kredencialų rinkinį, priklausančią „Snowflake“ darbuotojui, kurio „Okta“ prisijungimo puslapis vis dar nukreipia į vidinį „Snowflake“ prisijungimo puslapį, kurio nebėra.
Kita „Snowflake“ prisijungimo parinktis leidžia vartotojui naudoti tik savo „Snowflake“ vartotojo vardą ir slaptažodį, atsižvelgiant į tai, ar verslo klientas paskyroje taiko MFA, kaip nurodyta pačios „Snowflake“ palaikymo dokumentuose. Panašu, kad šiuos kredencialus pavogė informacijos vagystė kenkėjiška programa iš darbuotojų kompiuterių.
Tiksliai neaišku, kada buvo pavogti darbuotojų kredencialai ir kiek laiko jie buvo prisijungę.
Yra įrodymų, kad kelių darbuotojų, turinčių prieigą prie savo įmonės „Snowflake“ aplinkos, kompiuteriai anksčiau buvo pažeisti dėl informacijos vagystės kenkėjiškų programų. Remiantis pranešimų apie pažeidimus tarnybos „Have I Been Pwned“ patikrinimu, keletas įmonių el. pašto adresų, naudojamų kaip naudotojų vardai prieigai prie „Snowflake“ aplinkos, buvo rasti neseniai paskelbtame duomenų sankaupoje, kurioje buvo milijonai pavogtų slaptažodžių, nubrauktų iš įvairių „Telegram“ kanalų, naudojamų dalintis pavogtais slaptažodžiais.
„Snowflake“ atstovė Danica Stanczak atsisakė atsakyti į konkrečius „TechCrunch“ klausimus, įskaitant tai, ar „Snowflake“ darbuotojo demonstracinėje paskyroje buvo rasta jo klientų duomenų. Savo pareiškime Snowflake teigė, kad „sustabdo tam tikras vartotojų paskyras, kuriose yra rimtų kenkėjiškos veiklos požymių“.
„Snowflake“ pridūrė: „Pagal Snowflake bendros atsakomybės modelį klientai yra atsakingi už MFA su savo vartotojais įgyvendinimą“. Atstovas sakė, kad „Snowflake“ „svarsto visas MFP įgalinimo galimybes, tačiau šiuo metu neturime galutinių planų“.
El. paštu gauta „Live Nation“ atstovė Kaitlyn Henrich iki spaudos laiko nekomentavo.
Santander neatsakė į prašymą pakomentuoti.
Trūkstant MFA, buvo padaryti didžiuliai pažeidimai
„Snowflake“ atsakymas iki šiol palieka daug neatsakytų klausimų ir atskleidžia daugybę įmonių, kurios nesinaudoja MFA saugumo teikiama nauda.
Akivaizdu, kad „Snowflake“ prisiima bent dalį atsakomybės už tai, kad nereikalauja, kad jos vartotojai įjungtų saugos funkciją, ir dabar jai tenka didžiausia našta – kartu su savo klientais.
Duomenų pažeidimas „Ticketmaster“ tariamai apima daugiau nei 560 milijonų klientų įrašų, teigia duomenis internete reklamuojantys kibernetiniai nusikaltėliai. („Live Nation“ nekomentuos, kiek klientų nukentėjo nuo pažeidimo.) Jei bus įrodyta, „Ticketmaster“ būtų didžiausias JAV duomenų pažeidimas iki šiol ir vienas didžiausių pastarųjų metų istorijoje.
„Snowflake“ yra naujausia įmonė iš daugybės aukšto lygio saugumo incidentų ir didelių duomenų pažeidimų, kuriuos sukėlė MFA trūkumas.
Praėjusiais metais kibernetiniai nusikaltėliai iš 23andMe paskyrų iškrapštė apie 6,9 milijono klientų įrašų, kurie nebuvo apsaugoti be MFA, todėl genetinių tyrimų įmonė ir jos konkurentai reikalavo, kad vartotojai pagal numatytuosius nustatymus įjungtų MFA, kad būtų išvengta pasikartojančios atakos.
O anksčiau šiais metais „UnitedHealth“ priklausanti sveikatos technologijų milžinė „Change Healthcare“ pripažino, kad įsilaužėliai įsilaužė į jos sistemas ir pavogė didžiulius kiekius jautrių sveikatos duomenų iš sistemos, neapsaugotos MFA. Sveikatos priežiūros milžinė dar nepasakė, kiek asmenų buvo pažeista informacija, tačiau teigė, kad tai greičiausiai paveiks „didelę Amerikos žmonių dalį“.
Ar žinote daugiau apie „Snowflake“ paskyros įsibrovimus? Susisiekti. Norėdami susisiekti su šiuo reporteriu, susisiekite su Signal ir WhatsApp telefonu +1 646-755-8849 arba el. paštu. Taip pat galite siųsti failus ir dokumentus naudodami „SecureDrop“.