Неизвестные злоумышленники при помощи вредоносного ПО осуществили взлом систем американской компании Snowflake, которая занимается облачным анализом данных. В результате инцидента хакеры похитили персональную информацию сотен миллионов частных лиц — потребителей компаний, выступающих клиентами Snowflake. В частности, были похищены данные клиентов Santander Bank и Ticketmaster.
На минувшей неделе тревогу забили власти Австралии, заявившие, что им стало известно об «успешных компрометациях нескольких компаний, использующих окружения Snowflake» — сами компании при этом названы не были. Тем временем хакеры заявили на профильных форумах, что им удалось похитить сотни миллионов записей о потребителях Santander Bank и Ticketmaster — это два крупнейших клиента Snowflake. В Santander подтвердили взлом базы данных, «размещённой сторонним поставщиком», но поставщика не называли. А в Live Nation подтвердили, что данные её дочерней компании Ticketmaster были похищены, а украденная база была размещена на Snowflake.
Snowflake также призналась, что ей известно о «потенциально несанкционированном доступе» к «ограниченному числу» учётных записей клиентов — без конкретики; но отметила, что не нашла доказательств прямого взлома её систем. По версии облачного оператора, это была «целевая кампания, направленная на пользователей с однофакторной аутентификацией», реализованная при помощи вредоносного ПО, которое предназначается для кражи паролей, сохранённых на компьютере пользователя. Несмотря на то, что Snowflake хранит конфиденциальные данные своих клиентов, она позволяет им самостоятельно управлять безопасностью своих окружений, не требуя устанавливать многофакторную авторизацию — её отсутствием, вероятно, и воспользовались злоумышленники. Облачный оператор также признался, что была взломана некая демонстрационная учётная запись, которая была защищена только именем пользователя и паролем, но не содержала конфиденциальных сведений.
Осведомлённый о методах работы киберпреступников анонимный источник поделился с ресурсом TechCrunch ссылкой на сайт, где публикуются скомпрометированные учётные данные — на нём журналисты обнаружили более 500 пар логинов и паролей для доступа в системы Snowflake. Эти учётные данные принадлежат Santander, Ticketmaster, по крайней мере двум фармацевтическим гигантам, службе доставки еды, поставщику свежей воды и другим организациям. В списке присутствовали также раскрытые имена пользователя и пароли, предположительно принадлежащие бывшему сотруднику самой Snowflake.
Удалось также обнаружить косвенные подтверждения того, что учётные данные были похищены при помощи вредоносного ПО. В недавнем дампе с миллионами опубликованных в Telegram украденных логинов и паролей были обнаружены несколько корпоративных адресов электронной почты, используемых в качестве имени пользователя для доступа к окружениям Snowflake. Компания заявила о приостановке работы некоторых учётных записей, в которых были обнаружены признаки вредоносной активности, но отметила, что ответственность за обеспечение многофакторной авторизации к системам лежит на самих её пользователях — сейчас Snowflake рассматривает все варианты включения многофакторной авторизации, но окончательные планы пока не утверждены.
Источник: