Posts Recentes:

UE investigará Delivery Hero e Glovo por preocupações com cartéis de entrega de alimentos

A Comissão Europeia anunciado uma investigação formal sobre...

Olhando para o futuro – SGE, Gemini…E AGI?

Este trecho é de SEO in the Gemini...

Hacking Digital PR: Como ganhar links de alta autoridade da mídia dos EUA

Está com problemas para fazer seu site ser...

Centenas de senhas de clientes Snowflake encontradas online estão ligadas a malware para roubo de informações


A empresa de análise de dados em nuvem Snowflake está no centro de uma recente onda de supostos roubos de dados, enquanto seus clientes corporativos lutam para entender se seus armazenamentos de dados em nuvem foram comprometidos.

A gigante de dados com sede em Boston ajuda algumas das maiores corporações globais – incluindo bancos, prestadores de cuidados de saúde e empresas de tecnologia – a armazenar e analisar as suas vastas quantidades de dados, como dados de clientes, na nuvem.

Na semana passada, as autoridades australianas soou o alarme dizendo que tomaram conhecimento de “compromissos bem-sucedidos de várias empresas que utilizam ambientes Snowflake”, sem nomear as empresas. Os hackers alegaram em um conhecido fórum de crimes cibernéticos que haviam roubado centenas de milhões de registros de clientes do Banco Santander e da Ticketmaster, dois dos maiores clientes da Snowflake. Santander confirmou uma violação de um banco de dados “hospedado por um provedor terceirizado”, mas não quis nomear o provedor em questão. Na sexta-feira a Live Nation confirmou que sua subsidiária Ticketmaster foi hackeada e que o banco de dados roubado estava hospedado no Snowflake.

Floco de neve reconhecido em uma breve declaração que tinha conhecimento de “acesso potencialmente não autorizado” a um “número limitado” de contas de clientes, sem especificar quais, mas que não encontrou provas de que tenha havido uma violação direta dos seus sistemas. Em vez disso, Snowflake a chamou de “campanha direcionada a usuários com autenticação de fator único” e que os hackers usaram “malware adquirido anteriormente ou obtido por meio de malware de roubo de informações”, projetado para extrair as senhas salvas de um usuário em seu computador.

Apesar dos dados confidenciais que a Snowflake mantém para seus clientes, a Snowflake permite que cada cliente gerencie a segurança de seus ambientes e não se inscreve automaticamente ou exige que seus clientes usem autenticação multifator, ou MFA, de acordo com a documentação do cliente da Snowflake. Não impor o uso de MFA parece ser a forma como os cibercriminosos supostamente obtiveram enormes quantidades de dados de alguns dos clientes da Snowflake, alguns dos quais configuraram seus ambientes sem medidas de segurança adicionais.

Snowflake admitiu que uma de suas próprias contas “demo” foi comprometida porque não estava protegida além de um nome de usuário e senha, mas alegou que a conta “não continha dados confidenciais”. Não está claro se esta conta demo roubada tem algum papel nas violações recentes.

O TechCrunch viu esta semana centenas de supostas credenciais de clientes Snowflake que estão disponíveis on-line para cibercriminosos usarem como parte de campanhas de hackers, sugerindo que o risco de comprometimento de contas de clientes Snowflake pode ser muito maior do que se pensava inicialmente.

As credenciais foram roubadas por um malware de roubo de informações que infectou os computadores dos funcionários que têm acesso ao ambiente Snowflake de seus empregadores.

Algumas das credenciais vistas pelo TechCrunch parecem pertencer a funcionários de empresas conhecidas como clientes da Snowflake, incluindo Ticketmaster e Santander, entre outras. Os funcionários com acesso ao Snowflake incluem engenheiros de banco de dados e analistas de dados, alguns dos quais fazem referência à sua experiência usando o Snowflake em suas páginas do LinkedIn.

Por sua vez, a Snowflake disse aos clientes para ativarem imediatamente o MFA para suas contas. Até então, as contas Snowflake que não impõem o uso de MFA para fazer login estão colocando seus dados armazenados em risco de serem comprometidos por ataques simples, como roubo e reutilização de senhas.

Como verificamos os dados

Uma fonte com conhecimento de operações cibercriminosas apontou o TechCrunch para um site onde possíveis invasores podem pesquisar listas de credenciais que foram roubadas de várias fontes, como malware de roubo de informações no computador de alguém ou coletadas de violações de dados anteriores. (O TechCrunch não está vinculando ao site onde as credenciais roubadas estão disponíveis para não ajudar os malfeitores.)

Ao todo, o TechCrunch viu mais de 500 credenciais contendo nomes de usuário e senhas de funcionários, juntamente com os endereços da web das páginas de login dos ambientes Snowflake correspondentes.

As credenciais expostas parecem pertencer a ambientes Snowflake pertencentes ao Santander, à Ticketmaster, a pelo menos duas gigantes farmacêuticas, a um serviço de entrega de alimentos, a um fornecedor público de água doce e outros. Também vimos nomes de usuário e senhas expostos, supostamente pertencentes a um ex-funcionário da Snowflake.

O TechCrunch não nomeia o ex-funcionário porque não há evidências de que ele tenha feito algo errado. (Em última análise, é responsabilidade da Snowflake e de seus clientes implementar e aplicar políticas de segurança que evitem invasões resultantes do roubo de credenciais de funcionários.)

Não testamos os nomes de usuário e senhas roubados, pois isso violaria a lei. Como tal, não se sabe se as credenciais estão atualmente em uso ativo ou se levaram diretamente a comprometimentos de contas ou roubo de dados. Em vez disso, trabalhamos para verificar a autenticidade das credenciais expostas de outras maneiras. Isso inclui a verificação das páginas de login individuais dos ambientes Snowflake que foram expostas pelo malware de roubo de informações, que ainda estavam ativas e online no momento da redação deste artigo.

As credenciais que vimos incluem o endereço de e-mail (ou nome de usuário) do funcionário, sua senha e o endereço da web exclusivo para fazer login no ambiente Snowflake da empresa. Quando verificamos os endereços da web dos ambientes Snowflake – geralmente compostos de letras e números aleatórios – descobrimos que as páginas de login do cliente Snowflake listadas são acessíveis publicamente, mesmo que não possam ser pesquisadas on-line.

O TechCrunch confirmou que os ambientes Snowflake correspondem às empresas cujos logins de funcionários foram comprometidos. Conseguimos fazer isso porque cada página de login que verificamos tinha duas opções separadas para fazer login.

Uma maneira de fazer login depende do Okta, um provedor de login único que permite que os usuários do Snowflake façam login com as credenciais corporativas de sua própria empresa usando MFA. Em nossas verificações, descobrimos que essas páginas de login do Snowflake redirecionavam para as páginas de login do Live Nation (para Ticketmaster) e do Santander. Também encontramos um conjunto de credenciais pertencentes a um funcionário do Snowflake, cuja página de login do Okta ainda redireciona para uma página de login interna do Snowflake que não existe mais.

A outra opção de login do Snowflake permite que o usuário use apenas seu nome de usuário e senha do Snowflake, dependendo se o cliente corporativo aplica MFA na conta, conforme detalhado por Documentação de suporte do próprio Snowflake. São essas credenciais que parecem ter sido roubadas pelo malware de roubo de informações dos computadores dos funcionários.

Não está claro exatamente quando as credenciais dos funcionários foram roubadas ou há quanto tempo eles estão online.

Há algumas evidências que sugerem que vários funcionários com acesso aos ambientes Snowflake de suas empresas tiveram seus computadores previamente comprometidos por malware de roubo de informações. De acordo com uma verificação do serviço de notificação de violação Have I Been Pwned, vários endereços de e-mail corporativos usados ​​como nomes de usuário para acessar ambientes Snowflake foram encontrados em um recente despejo de dados contendo milhões de senhas roubadas extraído de vários canais do Telegram usados ​​para compartilhar senhas roubadas.

A porta-voz da Snowflake, Danica Stanczak, se recusou a responder a perguntas específicas do TechCrunch, incluindo se algum dado de seus clientes foi encontrado na conta demo do funcionário da Snowflake. Em um comunicado, a Snowflake disse que está “suspendendo certas contas de usuários onde há fortes indicadores de atividade maliciosa”.

Snowflake acrescentou: “No modelo de responsabilidade compartilhada da Snowflake, os clientes são responsáveis ​​por aplicar a MFA a seus usuários”. O porta-voz disse que Snowflake estava “considerando todas as opções para habilitação de MFA, mas não finalizamos nenhum plano neste momento”.

Quando contatada por e-mail, a porta-voz da Live Nation, Kaitlyn Henrich, não comentou até o momento.

O Santander não respondeu a um pedido de comentário.

A falta de MFA resultou em enormes violações

A resposta da Snowflake até agora deixa muitas perguntas sem resposta e revela uma série de empresas que não estão colhendo os benefícios que a segurança da MFA oferece.

O que está claro é que a Snowflake tem pelo menos alguma responsabilidade por não exigir que seus usuários ativem o recurso de segurança, e agora está arcando com o peso disso – junto com seus clientes.

A violação de dados na Ticketmaster supostamente envolve mais de 560 milhões de registros de clientes, de acordo com os cibercriminosos que anunciam os dados online. (A Live Nation não quis comentar sobre quantos clientes são afetados pela violação.) Se comprovada, a Ticketmaster seria a maior violação de dados do ano nos EUA até agora e uma das maiores da história recente.

Snowflake é a empresa mais recente em uma série de incidentes de segurança de alto perfil e violações de dados consideráveis ​​causadas pela falta de MFA.

No ano passado, os cibercriminosos coletou cerca de 6,9 ​​milhões de registros de clientes de contas 23andMe que não foram protegidos sem MFA, levando a empresa de testes genéticos – e seus concorrentes – para exigir que os usuários habilitar MFA por padrão para evitar um ataque repetido.

E no início deste ano, a gigante de tecnologia de saúde de propriedade da UnitedHealth, Change Healthcare, admitiu hackers invadiram seus sistemas e roubaram enormes quantidades de dados confidenciais de saúde de um sistema não protegido com MFA. A gigante da saúde ainda não disse quantos indivíduos tiveram suas informações comprometidas, mas disse que é provável que isso afete uma “proporção substancial de pessoas na América”.


Você sabe mais sobre as invasões de contas do Snowflake? Entrar em contato. Para entrar em contato com este repórter, entre em contato pelo Signal e WhatsApp pelo telefone +1 646-755-8849, ou por email. Você também pode enviar arquivos e documentos via SecureDrop.

Últimas

UE investigará Delivery Hero e Glovo por preocupações com cartéis de entrega de alimentos

A Comissão Europeia anunciado uma investigação formal sobre...

Olhando para o futuro – SGE, Gemini…E AGI?

Este trecho é de SEO in the Gemini...

Hacking Digital PR: Como ganhar links de alta autoridade da mídia dos EUA

Está com problemas para fazer seu site ser...

Google abandona eliminação gradual de cookies de terceiros

O Google anunciou que não eliminará mais cookies...

Assine

spot_img

Veja Também

UE investigará Delivery Hero e Glovo por preocupações com cartéis de entrega de alimentos

A Comissão Europeia anunciado uma investigação formal sobre...

Olhando para o futuro – SGE, Gemini…E AGI?

Este trecho é de SEO in the Gemini...

Hacking Digital PR: Como ganhar links de alta autoridade da mídia dos EUA

Está com problemas para fazer seu site ser...

Google abandona eliminação gradual de cookies de terceiros

O Google anunciou que não eliminará mais cookies...

A base de usuários do Telegram sobe para 950 milhões e planeja lançar uma loja de aplicativos

O aplicativo de mensagens Telegram atingiu 950 milhões...
spot_img

UE investigará Delivery Hero e Glovo por preocupações com cartéis de entrega de alimentos

A Comissão Europeia anunciado uma investigação formal sobre a gigante de entrega de alimentos sediada em Berlim, Delivery Hero, e sua subsidiária espanhola,...

Olhando para o futuro – SGE, Gemini…E AGI?

Este trecho é de SEO in the Gemini Era, de Marie Haynes © 2024, e reproduzido com permissão da Marie Haynes Consulting Inc. Há...

Hacking Digital PR: Como ganhar links de alta autoridade da mídia dos EUA

Está com problemas para fazer seu site ser mencionado em grandes sites de notícias para impulsionar suas classificações em mecanismos de busca? Você...