Un acteur menaçant affirmant que les récentes violations de Santander et Ticketmaster ont volé des données après avoir piraté le compte d’un employé de la société de stockage en nuage Snowflake. Cependant, Snowflake conteste ces affirmations, affirmant que les violations récentes ont été causées par des comptes clients mal sécurisés.

La plate-forme cloud de données IA de Snowflake est utilisée par 9 437 clients, dont certaines des plus grandes entreprises du monde entier, comme Adobe, AT & T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha et bien d’autres.

Selon la société de cybersécurité Hudson Rock,l’acteur de la menace affirme qu’il aurait également eu accès à d’autres sociétés de premier plan utilisant les services de stockage en nuage de Snowflake, notamment Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate et Advance Auto Parts.

Pour ce faire, ils disent avoir contourné le processus d’authentification sévère d’Okta en se connectant au compte ServiceNow d’un employé de Snowflake à l’aide d’identifiants volés. Ensuite, ils prétendent qu’ils pourraient générer des jetons de session pour exfiltrer les données appartenant aux clients Snowflake.

« Pour parler franchement, une seule information d’identification a entraîné l’exfiltration de potentiellement des centaines d’entreprises qui stockaient leurs données à l’aide de Snowflake, l’acteur de la menace lui-même suggérant que 400 entreprises sont touchées », a déclaré Hudson Rock.

« [L] ‘ acteur de la menace a partagé avec les chercheurs de Hudson Rock, ce qui montre la profondeur de leur accès aux serveurs Snowflake. Ce fichier documente plus de 2 000 instances de clients relatives aux serveurs européens de Snowflake. »

L’acteur de la menace affirme qu’ils voulaient faire chanter Snowflake pour qu’il rachète les données volées pour 20 millions de dollars, mais l’entreprise n’a pas répondu à leurs tentatives d’extorsion.

Hudson Rock a ajouté qu’un employé de Snowflake avait été infecté par un distributeur d’informations de type Lumma en octobre. Le logiciel malveillant a volé leurs informations d’identification d’entreprise à l’infrastructure Snowflake, comme le montre une capture d’écran partagée par l’auteur de la menace et intégrée ci-dessous.

Preuve de violation de flocon de neige

Breachtrace a contacté Snowflake au sujet des affirmations de l’acteur menaçant selon lesquelles un employé avait été violé, mais un porte-parole a déclaré que l’entreprise n’avait « rien d’autre à ajouter. »

Santander et le porte-parole de Ticketmaster n’étaient pas immédiatement disponibles pour commenter lorsqu’ils ont été contactés par Breachtrace plus tôt dans la journée.

Breachtrace a pu confirmer que Santander et Ticketmaster utilisent les services de stockage en nuage de Snowflake.

Snowflake confirme les piratages de comptes clients​
Snowflake n’a pas confirmé le rapport de Hudson Rock, déclarant plutôt que l’attaquant avait compromis les comptes clients dans ces violations et n’avait exploité aucune vulnérabilité ou mauvaise configuration des produits de l’entreprise.

Le fournisseur de stockage en nuage a également averti ses clients vendredi qu’il enquêtait sur « une augmentation » des attaques ciblant certains de leurs comptes, Brad Jones, RSSI de Snowflake, ajoutant que certains comptes clients avaient été compromis le 23 mai.

« Nous avons pris connaissance d’un accès potentiellement non autorisé à certains comptes clients le 23 mai 2024. Au cours de notre enquête, nous avons observé une activité accrue de menaces à partir de la mi-avril 2024 à partir d’un sous-ensemble d’adresses IP et de clients suspects que nous pensons liés à un accès non autorisé », a déclaré Jones.

« À ce jour, nous ne pensons pas que cette activité soit causée par une vulnérabilité, une mauvaise configuration ou une activité malveillante au sein du produit Snowflake. Tout au long de notre enquête en cours, nous avons rapidement informé le nombre limité de clients qui, selon nous, pourraient avoir été touchés. »

Jones dit que Snowflake a informé tous les clients des attaques et les a exhortés à sécuriser leurs comptes et leurs données en activant l’authentification multifacteur (MFA).

La société a également publié un bulletin de sécurité avec des indicateurs de compromission (IOC), des requêtes d’enquête et des conseils sur la manière dont les clients potentiellement affectés peuvent sécuriser leurs comptes.

L’un des IOC indique que les auteurs de la menace ont créé un outil personnalisé nommé « RapeFlake » pour exfiltrer les données des bases de données de Snowflake.

Une autre montrait les acteurs de la menace se connectant aux bases de données à l’aide des outils de gestion de données DBeaver Ultimate, avec des journaux montrant les connexions client à partir de l’agent utilisateur ‘DBeaver_DBeaverUltimate’.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *