Se viene comentando desde hace unos días: un ataque dirigido a los clientes de Snowflake, una empresa de almacenamiento en la nube, que, como se explica en El cableado, ha amenazado con convertirse en una de las mayores violaciones de datos de la historia.
Aunque tienes toda la información aquí, Snowflake informó que los ciberdelincuentes intentaron acceder a las cuentas de sus clientes -tiene más de 10.000 en todo el mundo, incluida España- utilizando datos de inicio de sesión robados. Entre las empresas afectadas se encuentran Ticketmaster y Santander, cuyos datos se cree que han sido comprometidos a través de las cuentas de esta empresa.
En cuanto a lo que realmente sucedió, la empresa ya está trabajando con las empresas de ciberseguridad CrowdStrike y Mandiant para investigar el incidente, pero parece que Los propios ciberdelincuentes relacionados lo están haciendo bien y ellos mismos quisieron contar cómo lo hicieron.
Tal y como le han explicado El cableado, se realizó acceso a empresas externas y esto permitió a los piratas informáticos violar las cuentas de Snowflake. Según uno de los piratas informáticos del grupo que se hace llamar ShinyHunters, aprovecharon los datos obtenidos del sistema de un empleado de la empresa EPAM para acceder a las cuentas de Snowflake.
Comente y agregue que casi dos tercios de los 55.000 empleados de EPAM residían en Ucrania, Bielorrusia y Rusia hasta que esta última invadió Ucrania, momento en el que la empresa dice que cerró sus operaciones en Rusia y trasladó a algunos de sus trabajadores ucranianos a lugares fuera de ese país.
Los piratas informáticos también se aprovecharon de la falta de autenticación multifactor (MFA)
Por supuesto Es algo que coincidiría con las declaraciones iniciales de Snowflake. “No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, mala configuración o violación de la plataforma Snowflake”, comentaron.
Por otro lado, Mandiant, una de las empresas contratadas por Snowflake, también ha constatado el gran peligro que existe respecto a estas empresas externas que finalmente tienen acceso a la cadena de suministro. “Los contratistas que los clientes contratan para ayudarlos a usar Snowflake pueden usar computadoras portátiles personales y/o no monitoreadas que exacerban este vector de entrada inicial”, comentan.
“Estos dispositivos, que a menudo se utilizan para acceder a los sistemas de múltiples organizaciones, presentan un riesgo importante. Si se ve comprometida por malware que roba información, la computadora portátil de un solo contratista puede facilitar el acceso de los actores de amenazas en múltiples organizaciones, a menudo con privilegios de administrador y de nivel de TI”, añaden.
Brad Jones, CISO de Snowflake, por su parte, ha reconocido que la falta de autenticación multifactor permitió todo este problema. En una llamada con El cableadoexplicó que Snowflake está trabajando para brindar a sus clientes la capacidad de exigir a los usuarios de sus cuentas que empleen autenticación multifactor en el futuro, “y luego miraremos hacia el futuro [hacer que] la autenticación es la predeterminada”.
Conocido cómo trabajamos en Computerhoy.
Etiquetas: Privacidad, Datos, Ciberseguridad
