A Snowflake emitiu um comunicando informando um número limitado de clientes da que acredita terem sido afetados. Na semana passada, as autoridades australianas soaram o alarme, dizendo que tomaram conhecimento de ataques bem-sucedidos a várias empresas que utilizam ambientes Snowflake, sem nomear as empresas.
Os hackers alegaram em um conhecido fórum de crimes cibernéticos que haviam roubado centenas de milhões de registros de clientes do Banco Santander e da Ticketmaster, dois dos maiores clientes da Snowflake. O Santander confirmou a violação de um banco de dados "hospedado por um provedor terceirizado", mas não revelou o nome do provedor em questão. Na sexta-feira, a Live Nation confirmou que sua subsidiária Ticketmaster foi hackeada e que o banco de dados roubado estava hospedado no Snowflake
O comunicado diz que a "Snowflake e especialistas em segurança cibernética terceirizados, CrowdStrike e Mandiant, estão fornecendo uma declaração conjunta relacionada à nossa investigação em andamento envolvendo uma campanha de ameaças direcionadas contra algumas contas de clientes da Snowflake'.
O comunicado diz ainda que "nossas principais conclusões preliminares identificadas até o momento:
*não identificamos evidências que sugiram que esta atividade foi causada por uma vulnerabilidade, configuração incorreta ou violação da plataforma Snowflake;
*não identificamos evidências que sugiram que esta atividade foi causada por credenciais comprometidas de funcionários atuais ou antigos da Snowflake;
*esta parece ser uma campanha direcionada a usuários com autenticação de fator único;
*como parte desta campanha, os agentes de ameaças aproveitaram credenciais previamente adquiridas ou obtidas através de malware para roubo de informações; e
*encontramos evidências de que um agente de ameaça obteve credenciais pessoais e acessou contas de demonstração pertencentes a um ex-funcionário da Snowflake. Não continha dados confidenciais. As contas de demonstração não estão conectadas aos sistemas corporativos ou de produção da Snowflake. O acesso foi possível porque a conta demo não estava atrás de Okta ou Multi-Factor Authentication (MFA), ao contrário dos sistemas corporativos e de produção da Snowflake.
A empresa recomendou a seus usuários aplicar autenticação multifator em todas as contas; configure regras de política de rede para permitir apenas usuários autorizados ou apenas tráfego de locais confiáveis ??(VPN, NAT de carga de trabalho em nuvem, etc.); e as organizações afetadas devem redefinir e alternar as credenciais do Snowflake.
Além disso, revisaer as diretrizes investigativas e de proteção do Snowflake para obter ações recomendadas para ajudar na investigação de possíveis atividades de ameaças nas contas de clientes do Snowflake. Esta investigação está em andamento. "Também estamos em coordenação com as autoridades policiais e outras autoridades governamentais", diz o comunicado.
