La société d’analyse de données cloud Snowflake est au centre d’une récente vague de vols de données présumés, alors que ses entreprises clientes s’efforcent de comprendre si leurs magasins de données cloud ont été compromis.

Le géant des données basé à Boston aide certaines des plus grandes entreprises mondiales – notamment des banques, des prestataires de soins de santé et des entreprises technologiques – à stocker et à analyser leurs vastes quantités de données, telles que les données des clients, dans le cloud.

La semaine dernière, les autorités australiennes a sonné l’alarme disant qu’ils avaient pris connaissance de « compromissions réussies de plusieurs entreprises utilisant des environnements Snowflake », sans nommer les entreprises. Des pirates informatiques avaient affirmé sur un forum de cybercriminalité connu qu’ils avaient volé des centaines de millions de dossiers clients de Santander Bank et de Ticketmaster, deux des plus gros clients de Snowflake. Santander confirmé une violation d’une base de données « hébergé par un fournisseur tiers », mais n’a pas nommé le fournisseur en question. Vendredi, Live Nation a confirmé que sa filiale Ticketmaster avait été piratée et que la base de données volée était hébergée sur Snowflake.

Snowflake reconnut En bref qu’il était au courant d’un « accès potentiellement non autorisé » à un « nombre limité » de comptes clients, sans préciser lesquels, mais qu’il n’a trouvé aucune preuve qu’il y avait eu une violation directe de ses systèmes. Au lieu de cela, Snowflake l’a qualifié de « campagne ciblée dirigée contre les utilisateurs avec une authentification à facteur unique » et que les pirates ont utilisé « précédemment acheté ou obtenu par le biais d’un logiciel malveillant de vol d’informations », conçu pour récupérer les mots de passe enregistrés d’un utilisateur sur son ordinateur.

Malgré les données sensibles que Snowflake détient pour ses clients, Snowflake permet à chaque client de gérer la Sécurité de ses environnements, et ne s’inscrit pas automatiquement ou n’exige pas que ses clients utilisent l’authentification multifacteur, ou MFA, selon la documentation client de Snowflake. Le fait de ne pas appliquer l’utilisation de l’authentification multifacteur semble être la façon dont les cybercriminels auraient obtenu d’énormes quantités de données de certains clients de Snowflake, dont certains ont configuré leurs environnements sans mesure de sécurité supplémentaire.

Snowflake a concédé que l’un de ses propres comptes « démo » avait été compromis parce qu’il n’était pas protégé au-delà d’un nom d’utilisateur et d’un mot de passe, mais a affirmé que le compte « ne contenait pas de données sensibles ». Il n’est pas clair si ce compte de démonstration volé a joué un rôle dans les récentes violations.

fr.techtribune.neta vu cette semaine des centaines d’informations d’identification présumées de clients de Snowflake disponibles en ligne pour que les cybercriminels puissent les utiliser dans le cadre de campagnes de piratage, ce qui suggère que le risque de compromission des comptes clients de Snowflake pourrait être beaucoup plus important que ce que l’on savait au départ.

Les informations d’identification ont été volées par un logiciel malveillant de vol d’informations qui a infecté les ordinateurs des employés qui ont accès à l’environnement Snowflake de leur employeur.

Certaines des informations d’identification vues par fr.techtribune.netsemblent appartenir à des employés d’entreprises connues pour être des clients de Snowflake, notamment Ticketmaster et Santander, entre autres. Les employés ayant accès à Snowflake comprennent des ingénieurs de bases de données et des analystes de données, dont certains font référence à leur expérience d’utilisation de Snowflake sur leurs pages LinkedIn.

Pour sa part, Snowflake a demandé à ses clients d’activer immédiatement l’authentification multifacteur pour leurs comptes. D’ici là, les comptes Snowflake qui n’appliquent pas l’utilisation de l’authentification multifacteur pour se connecter exposent leurs données stockées à un risque de compromission par des attaques simples telles que le vol et la réutilisation de mots de passe.

comment nous avons vérifié les données

Une source ayant connaissance des opérations cybercriminelles a dirigé fr.techtribune.netvers un site Web où les attaquants potentiels peuvent rechercher des listes d’informations d’identification qui ont été volées à diverses sources, telles que des logiciels malveillants de vol d’informations sur l’ordinateur de quelqu’un ou rassemblées à partir de violations de données précédentes. (fr.techtribune.netne fait pas de lien vers le site où les informations d’identification volées sont disponibles afin de ne pas aider les mauvais acteurs.)

En tout, fr.techtribune.neta vu plus de 500 informations d’identification contenant les noms d’utilisateur et les mots de passe des employés, ainsi que les adresses Web des pages de connexion pour les environnements Snowflake correspondants.

Les informations d’identification exposées semblent concerner les environnements Snowflake appartenant à Santander, Ticketmaster, au moins deux géants pharmaceutiques, un service de livraison de nourriture, un fournisseur public d’eau douce, etc. Nous avons également vu des noms d’utilisateur et des mots de passe exposés appartenant prétendument à un ancien employé de Snowflake.

fr.techtribune.netne nomme pas l’ancien employé car il n’y a aucune preuve qu’il ait fait quelque chose de mal. (En fin de compte, c’est à la fois la responsabilité de Snowflake et de ses clients de mettre en œuvre et d’appliquer security qui empêchent les intrusions résultant du vol des informations d’identification des employés.)

Nous n’avons pas testé les noms d’utilisateur et les mots de passe volés, car cela enfreindrait la loi. En tant que tel, on ne sait pas si les informations d’identification sont actuellement utilisées activement ou si elles ont directement conduit à des compromissions de compte ou à des vols de données. Au lieu de cela, nous avons travaillé pour vérifier l’authenticité des informations d’identification exposées par d’autres moyens. Cela inclut la vérification des pages de connexion individuelles des environnements Snowflake qui ont été exposés par le logiciel malveillant de vol d’informations, qui étaient toujours actifs et en ligne au moment de la rédaction de cet article.

Les informations d’identification que nous avons vues incluent l’adresse e-mail (ou le nom d’utilisateur) de l’employé, son mot de passe et l’adresse Web unique pour se connecter à l’environnement Snowflake de son entreprise. Lorsque nous avons vérifié les adresses Web des environnements Snowflake – souvent composées de lettres et de chiffres aléatoires – nous avons constaté que les pages de connexion des clients Snowflake répertoriées sont accessibles au public, même si elles ne peuvent pas être recherchées en ligne.

fr.techtribune.neta confirmé que les environnements Snowflake correspondent aux entreprises dont les identifiants des employés ont été compromis. Nous avons pu le faire parce que chaque page de connexion que nous avons vérifiée avait deux options distinctes pour se connecter.

L’une des façons de se connecter repose sur Okta, un fournisseur d’authentification unique qui permet aux utilisateurs de Snowflake de se connecter avec les informations d’identification de leur propre entreprise à l’aide de l’authentification multifacteur. Lors de nos vérifications, nous avons constaté que ces pages de connexion Snowflake redirigeaient vers les pages de connexion Live Nation (pour Ticketmaster) et Santander. Nous avons également trouvé un ensemble d’informations d’identification appartenant à un employé de Snowflake, dont la page de connexion Okta redirige toujours vers une page de connexion interne de Snowflake qui n’existe plus.

L’autre option de connexion de Snowflake permet à l’utilisateur d’utiliser uniquement son nom d’utilisateur et son mot de passe Snowflake, selon que l’entreprise cliente applique ou non l’authentification multifacteur sur le compte, comme indiqué par Documentation d’assistance de Snowflake. Ce sont ces informations d’identification qui semblent avoir été volées par le logiciel malveillant de vol d’informations sur les ordinateurs des employés.

On ne sait pas exactement quand les informations d’identification des employés ont été volées ni depuis combien de temps ils sont en ligne.

Il existe des preuves suggérant que plusieurs employés ayant accès aux environnements Snowflake de leur entreprise ont vu leurs ordinateurs compromis par des logiciels malveillants de vol d’informations. Selon une vérification du service de notification de violation Have I Been Pwned, plusieurs des adresses e-mail d’entreprise utilisées comme noms d’utilisateur pour accéder aux environnements Snowflake ont été trouvées dans un récent déversement de données contenant des millions de mots de passe volés récupérés sur divers canaux Telegram utilisés pour partager des mots de passe volés.

La porte-parole de Snowflake, Danica Stanczak, a refusé de répondre aux questions spécifiques de TechCrunch, notamment si les données de ses clients avaient été trouvées dans le compte de démonstration de l’employé de Snowflake. Dans un communiqué, Snowflake a déclaré qu’il « suspendait certains comptes d’utilisateurs où il y a de forts indicateurs d’activité malveillante ».

Snowflake a ajouté : « Dans le cadre du modèle de responsabilité partagée de Snowflake, les clients sont responsables de l’application de la MFA avec leurs utilisateurs. » Le porte-parole a déclaré que Snowflake « envisageait toutes les options pour l’activation de l’authentification multifacteur, mais nous n’avons finalisé aucun plan pour le moment ».

Jointe par e-mail, la porte-parole de Live Nation, Kaitlyn Henrich, n’a pas commenté au moment de la mise sous presse.

Santander n’a pas répondu à une demande de commentaire.

L’absence d’authentification multifacteur a entraîné d’énormes violations

La réponse de Snowflake jusqu’à présent laisse beaucoup de questions sans réponse et met à nu un grand nombre d’entreprises qui ne récoltent pas les avantages de la sécurité MFA.

Ce qui est clair, c’est que Snowflake porte au moins une part de responsabilité pour ne pas avoir demandé à ses utilisateurs d’activer la fonction de sécurité, et en fait maintenant les frais, avec ses clients.

La violation de données chez Ticketmaster impliquerait plus de 560 millions de dossiers de clients, selon les cybercriminels qui annoncent les données en ligne. (Live Nation n’a pas voulu commenter le nombre de clients touchés par la violation.) Si cela est prouvé, Ticketmaster serait la plus grande violation de données américaine de l’année jusqu’à présent, et l’une des plus importantes de l’histoire récente.

Snowflake est la dernière entreprise d’une série d’incidents de sécurité très médiatisés et de violations de données importantes causées par l’absence de MFA.

L’année dernière, les cybercriminels ont récupéré environ 6,9 millions de dossiers clients de comptes 23andMe qui n’étaient pas protégés sans MFA, ce qui a incité la société de tests génétiques – et ses concurrents – à exiger que les utilisateurs activent MFA par défaut pour éviter une nouvelle attaque.

Et plus tôt cette année, le géant de la technologie de la santé Change Healthcare, propriété de UnitedHealth, a admis que des pirates informatiques s’étaient introduits dans ses systèmes et avaient volé d’énormes sommes de données de santé sensibles provenant d’un système non protégé par l’authentification multifacteur. Le géant de la santé n’a pas encore dit combien de personnes ont vu leurs informations compromises, mais a déclaré que cela affecterait probablement une « proportion substantielle de personnes en Amérique ».

En savez-vous plus sur les intrusions dans les comptes Snowflake ? Contactez-nous. Pour contacter ce journaliste, contactez-nous sur Signal et WhatsApp au +1 646-755-8849, ou par e-mail. Vous pouvez également envoyer des fichiers et des documents via SecureDrop.