据报道,一名威胁者对最近涉及Ticketmaster和Santander Bank的数据泄露事件负责,声称他们在入侵第三方云存储公司 Snowflake 的员工账户后窃取了数据。然而,Snowflake 驳斥了这些泄露指控,并将泄露归咎于客户账户的凭证卫生不良。
这家云存储巨头今天在一份声明中表示:“到目前为止,我们不认为此活动是由 Snowflake 产品中的任何漏洞、错误配置或恶意活动引起的。”
Snowflake 的 AI数据云平台为 9,000 多家客户提供服务,其中包括 Adobe、AT&T、Capital One、DoorDash、HP、JetBlue、Mastercard、Micron、NBC Universal、Nielsen、Novartis、Okta、百事可乐、西门子、US Foods、Western Union 和 Yamaha 等大公司。
涉嫌 Snowflake 违规行为详情
据网络安全公司Hudson Rock称,威胁行为者声称已使用 Snowflake 的服务访问了其他知名公司的数据,其中包括 Anheuser-Busch、State Farm、三菱、Progressive、Neiman Marcus、Allstate 和 Advance Auto Parts。
所描述的方法涉及使用被盗凭证登录 Snowflake 员工的 ServiceNow 帐户,从而绕过 Okta 的身份验证。据称,他们从那里生成会话令牌以从 Snowflake 客户那里提取数据。
Hudson Rock 报道称,威胁行为者声称此次入侵影响了多达 400 家公司,并有证据表明,攻击者可以访问与 Snowflake 欧洲服务器相关的 2,000 多个客户实例。
勒索企图和恶意软件介入
该威胁行为者声称曾试图向 Snowflake 勒索 2000 万美元以赎回被盗数据,但 Snowflake 没有回应。Hudson Rock 指出,一名 Snowflake 员工在 10 月份感染了 Lumma 类型的信息窃取程序,该程序窃取了他们的公司凭证。威胁行为者分享的屏幕截图证实了恶意软件感染。
雪花回应
Snowflake 已确认客户账户遭到入侵,但否认其产品存在任何漏洞或配置错误。这家云存储公司表示,他们观察到某些客户账户遭到未经授权的访问,并表示这可能与 Snowflake 基础设施的任何缺陷无关。
“我们认为这是全行业范围内持续进行的基于身份的攻击的结果,其目的是获取客户数据。研究表明,这些类型的攻击是利用我们客户的用户凭证进行的,这些凭证是通过无关的网络威胁活动暴露的。
Snowflake 已向“有限”数量的客户通报了这些攻击,并敦促他们通过启用多因素身份验证 (MFA)来增强其帐户安全性。
攻击工具和指标
该公司发布了一份安全公告,其中包含入侵指标 (IoC)、调查查询以及保护受影响账户的指南。
一份 IoC 报告表明,威胁行为者使用了名为“RapeFlake”的自定义工具从 Snowflake 数据库中窃取数据。另一份报告显示,威胁行为者使用了“DBeaver Ultimate”数据管理工具,日志显示来自“DBeaver_DBeaverUltimate”用户代理的连接。
Snowflake 还分享了查询以识别来自可疑客户端的访问以及如何禁用可疑用户。但这可能还不够。这里非常重要的一个步骤是:
“如果您已在帐户上启用了 ALLOW_ID_TOKEN参数,则必须让用户处于禁用状态 6 小时,才能完全使通过此 ID 令牌功能进行的任何可能的未经授权的访问失效。如果在此时间之前重新启用用户,攻击者可能能够使用现有 ID 令牌生成新会话,即使在重置密码或启用 MFA 之后也是如此。”
虽然一名威胁者声称已经入侵 Snowflake 并窃取了多家知名公司的数据,但 Snowflake 坚称这些入侵是由于客户账户被盗用,而不是其系统本身存在漏洞。Snowflake 将继续调查这些事件,并已采取措施提高客户账户的安全性。
发表评论
您还未登录,请先登录。
登录