08.06.2024 | Атака на «Snowflake» может стать одной из крупнейших утечек данных в истории |
На прошлой неделе, благодаря отчёту компании Hudson Rock, стало известно, что на облачную компанию Snowflake была совершена кибератака, в ходе которой были похищены конфиденциальные данные клиентов Snowflake — компаний Ticketmaster и Santander. Сама Snowflake отреагировала на информацию о потенциальном взломе своих систем крайне негативно. После непродолжительного расследования компания заявила, что её никто не взламывал, а в сторону Hudson Rock было направлено требование удалить ИБ-отчёт, так как информация в нём якобы «не соответствует действительности». Однако, как оказалось позже, — ещё как соответствует. После привлечения к расследованию компаний Mandiant и CrowdStrike , оказалось, что злоумышленники действительно пытались получить доступ к учётным записям клиентов Snowflake, используя украденные логины и пароли. Как можно догадаться, им успешно удалось это сделать. За прошедшие дни в киберпространстве появилось сразу несколько заявлений киберпреступников о продаже украденных данных ещё двух крупных компаний, якобы тоже полученных из систем Snowflake. Одновременно издание TechCrunch сообщило о сотнях паролей клиентов Snowflake, оказавшихся в открытом доступе. Масштабы атаки на клиентов Snowflake, личности нападавших и работа вредоносного инструмента «rapeflake» пока неясны. Большая часть инцидента с Snowflake разворачивалась на хакерском форуме BreachForums. ФБР закрыло форум в мае, но он быстро возобновил работу, и члены группы ShinyHunters заявили о продаже 560 млн записей Tickеtmaster и 30 млн Santander. Вероятно, именно ShinyHunters стоит за взломом Snowflake. Как Tickеtmaster, так и Santander — быстро подтвердили утечки данных, причём обе указали, что не были взломаны напрямую, а пострадали базы данных у стороннего провайдера, которым, судя по всему, в данной ситуации и является Snowflake. В последние дни на BreachForums появились сообщения о предполагаемых утечках данных из Advance Auto Parts (380 млн клиентских записей) и LendingTree с дочерней QuoteWizard (190 млн записей). Некоторые опубликованные email-адреса сотрудников и клиентов Advance Auto Parts оказались действительными. Представитель Advance Auto Parts Дэррил Карр заявил, что компания расследует возможную утечку, связанную со Snowflake. LendingTree пока не прокомментировала ситуацию. Snowflake в своём блоге признала, что учётные записи попали в руки злоумышленников из-за использования логинов и паролей, похищенных инфостилерами. Компания не нашла доказательств компрометации своих сотрудников и выявила доступ только к демо-аккаунту бывшего работника. Однако, судя по масштабу утечек, необходимый уровень доступа у хакеров всё же есть. Инцидент показывает тесную интеграцию компаний, использующих сторонние сервисы. По словам эксперта Тори Ханта, это признание того, насколько сложно в современных цифровых реалиях контролировать безопасность сторонних поставщиков. В ответ на атаки Snowflake рекомендовала клиентам включить многофакторную аутентификацию и разрешить доступ только из авторизованных источников. Компаниям, пострадавшим от утечек, следует сбросить свои пароли Snowflake. Что касательно инфостилеров, которые Snowflake винит в атаке, в последние годы, особенно в пандемию, их использование для кражи логинов, паролей, файлов с устройств — значительно выросло. Кроме того, по словам Иэна Грея из Flashpoint, из-за высокого спроса появилось множество недорогих инфостилеров, доступных буквально каждому злоумышленнику. «Эти программы разными способами крадут конфиденциальную информацию: cookie, учётные данные, кредитки, криптокошельки. А затем, с помощью полученных данных, хакеры пытаются проникнуть в корпоративные учётные записи», — объясняет Грей. |
Проверить безопасность сайта