Le fournisseur de stockage cloud Snowflake a déclaré que des comptes appartenant à plusieurs clients avaient été piratés après que des acteurs malveillants aient obtenu des informations d’identification via des logiciels malveillants volant des informations ou en les achetant sur des forums criminels en ligne.
Live Nation, société mère de Ticketmaster, qui a révélé vendredi que des pirates avaient eu accès aux données stockées par l’intermédiaire d’un fournisseur tiers anonyme, a déclaré à TechCrunch que le fournisseur était Snowflake. Le courtier en billets pour les événements en direct a déclaré avoir identifié le piratage le 20 mai et, une semaine plus tard, un « acteur de menace criminelle a proposé à la vente ce qu’il prétendait être des données d’utilisateurs de l’entreprise via le dark web ».
Ticketmaster est l’un des six clients de Snowflake touchés par la campagne de piratage, a déclaré le chercheur indépendant en sécurité Kevin Beaumont, citant des conversations avec des personnes au sein des entreprises concernées. La Direction australienne des signaux a déclaré samedi qu’elle était au courant de « compromis réussis de plusieurs entreprises utilisant les environnements Snowflake ». Des chercheurs de la société de sécurité Hudson Rock ont déclaré dans un message désormais supprimé que Santander, la plus grande banque espagnole, avait également été piratée lors de cette campagne. Les chercheurs ont cité des conversations textuelles en ligne avec l’acteur menaçant. Le mois dernier, Santander a révélé une violation de données affectant des clients au Chili, en Espagne et en Uruguay.
« Le problème de Snowflake est qu’un grattage massif a eu lieu, mais personne ne l’a remarqué, et ils accusent les clients d’avoir de mauvaises informations d’identification », a écrit Beaumont sur Mastodon. « Il semble que de nombreuses données ont été transmises par un certain nombre d’organisations. »
La nouvelle des piratages est arrivée quelques semaines après qu’un groupe de piratage se faisant appeler ShinyHunters s’est attribué le mérite d’avoir violé Santander et Ticketmaster et a publié des données prétendument appartenant aux deux comme preuve. Le groupe s’est rendu sur un forum Breach pour demander 2 millions de dollars pour les données de Santander, qui, selon lui, comprenaient 30 millions de dossiers clients, 6 millions de numéros de compte et 28 millions de numéros de cartes de crédit. Il réclamait 500 000 $ pour les données de Ticketmaster, qui, selon le groupe, comprenaient les noms complets, adresses, numéros de téléphone et numéros partiels de cartes de crédit de 560 millions de clients.
Beaumont n’a pas nommé le groupe à l’origine des attaques contre les clients de Snowflake, mais l’a décrit comme « un groupe de logiciels criminels adolescents qui est actif publiquement sur Telegram depuis un certain temps et s’appuie régulièrement sur des logiciels malveillants infostealer pour obtenir des informations d’identification sensibles.
Le groupe a été responsable du piratage de dizaines d’organisations, dont un petit nombre comprenant :
Selon Snowflake, l’acteur malveillant a utilisé des informations d’identification de compte déjà compromises dans la campagne contre ses clients. Ces comptes n’étaient pas protégés par l’authentification multifacteur (MFA).
Snowflake a également déclaré que l’acteur malveillant avait utilisé des informations d’identification compromises sur un compte d’ancien employé qui n’était pas protégé par MFA. Ce compte, a indiqué la société, a été créé à des fins de démonstration.
« Il ne contenait pas de données sensibles », indique la notification de Snowflake. « Les comptes de démonstration ne sont pas connectés aux systèmes de production ou d’entreprise de Snowflake. »
La société exhorte tous les clients à s’assurer que tous leurs comptes sont protégés par MFA. Le communiqué ajoute que les clients doivent également vérifier leurs comptes pour détecter tout signe de compromission à l’aide de ces indicateurs.
« Tout au long de notre enquête en cours, nous avons rapidement informé le nombre limité de clients qui, selon nous, pourraient avoir été concernés », a déclaré la société dans son message.
Snowflake et les deux sociétés de sécurité qu’elle a retenues pour enquêter sur l’incident, Mandiant et Crowdstrike, ont déclaré qu’elles n’avaient pas encore trouvé de preuve que les violations résultaient d’une « vulnérabilité, d’une mauvaise configuration ou d’une violation de la plate-forme de Snowflake ». Mais Beaumont a déclaré que le fournisseur de cloud partage une partie de la responsabilité des violations, car la configuration de la MFA sur Snowflake est trop lourde. Il a cité comme support la violation du compte démo de l’ancien employé.
«Ils doivent, au niveau de l’ingénierie et de la sécurité dès la conception, revenir en arrière et revoir le fonctionnement de l’authentification, car il est assez transparent qu’étant donné le nombre de victimes et l’ampleur de la violation, le statu quo n’a pas fonctionné», a écrit Beaumont. « L’authentification sécurisée ne devrait pas être facultative. Et ils doivent être totalement transparents sur les mesures qu’ils prennent à la suite de cet incident pour renforcer les choses.