La société d’analyse de données cloud Snowflake est au centre d’une récente vague de vols de données présumés, alors que ses entreprises clientes se démènent pour comprendre si leurs magasins de données cloud ont été compromis.
Le géant des données basé à Boston aide certaines des plus grandes entreprises mondiales – notamment des banques, des prestataires de soins de santé et des entreprises technologiques – à stocker et analyser leurs grandes quantités de données, telles que les données clients, dans le cloud.
La semaine dernière, les autorités australiennes ont tiré la sonnette d’alarme en affirmant qu’elles avaient pris connaissance de « compromissions réussies de plusieurs entreprises utilisant les environnements Snowflake », sans nommer ces entreprises. Des pirates informatiques avaient affirmé sur un forum connu sur la cybercriminalité avoir volé des centaines de millions de dossiers clients de Santander Bank et Ticketmaster, deux des plus gros clients de Snowflake. Santander a confirmé une violation d’une base de données « hébergée par un fournisseur tiers », mais n’a pas voulu nommer le fournisseur en question. Vendredi, Live Nation a confirmé que sa filiale Ticketmaster avait été piratée et que la base de données volée était hébergée sur Snowflake.
Snowflake a reconnu dans un bref communiqué avoir eu connaissance d’un « accès potentiellement non autorisé » à un « nombre limité » de comptes clients, sans préciser lesquels, mais n’avoir trouvé aucune preuve d’une violation directe de ses systèmes. Snowflake l’a plutôt qualifié de « campagne ciblée destinée aux utilisateurs dotés d’une authentification à un seul facteur » et que les pirates ont utilisé « des logiciels malveillants préalablement achetés ou obtenus grâce à un vol d’informations », conçus pour récupérer les mots de passe enregistrés d’un utilisateur sur son ordinateur.
Malgré les données sensibles que Snowflake détient pour ses clients, Snowflake permet à chaque client de gérer la sécurité de son environnement, et n’inscrit pas automatiquement ni n’oblige ses clients à utiliser l’authentification multifacteur, ou MFA, selon la documentation client de Snowflake. Il semble que les cybercriminels aient obtenu d’énormes quantités de données auprès de certains clients de Snowflake, dont certains ont configuré leur environnement sans mesure de sécurité supplémentaire.
Snowflake a admis que l’un de ses propres comptes « démo » avait été compromis parce qu’il n’était pas protégé au-delà d’un nom d’utilisateur et d’un mot de passe, mais a affirmé que le compte « ne contenait pas de données sensibles ». On ne sait pas si ce compte de démonstration volé a joué un rôle dans les récentes violations.
TechCrunch a vu cette semaine des centaines d’identifiants de clients Snowflake présumés disponibles en ligne pour que les cybercriminels puissent les utiliser dans le cadre de campagnes de piratage, ce qui suggère que le risque de compromission des comptes clients de Snowflake pourrait être bien plus large qu’on ne le pensait initialement.
Les informations d’identification ont été volées par un logiciel malveillant de vol d’informations qui a infecté les ordinateurs des employés ayant accès à l’environnement Snowflake de leur employeur.
Certaines des informations d’identification vues par TechCrunch semblent appartenir à des employés d’entreprises connues pour être des clients de Snowflake, notamment Ticketmaster et Santander, entre autres. Les employés ayant accès à Snowflake comprennent des ingénieurs de bases de données et des analystes de données, dont certains font référence à leur expérience d’utilisation de Snowflake sur leurs pages LinkedIn.
Pour sa part, Snowflake a demandé à ses clients d’activer immédiatement MFA pour leurs comptes. En attendant, les comptes Snowflake qui n’imposent pas l’utilisation de MFA pour se connecter exposent leurs données stockées au risque d’être compromises par des attaques simples telles que le vol et la réutilisation de mots de passe.
Comment nous avons vérifié les données
Une source connaissant les opérations cybercriminelles a dirigé TechCrunch vers un site Web sur lequel les attaquants potentiels peuvent rechercher des listes d’informations d’identification qui ont été volées à partir de diverses sources, telles que des logiciels malveillants de vol d’informations sur l’ordinateur de quelqu’un ou rassemblées à partir de violations de données précédentes. (TechCrunch ne crée pas de lien vers le site sur lequel les informations d’identification volées sont disponibles afin de ne pas aider les mauvais acteurs.)
Au total, TechCrunch a vu plus de 500 informations d’identification contenant les noms d’utilisateur et les mots de passe des employés, ainsi que les adresses Web des pages de connexion des environnements Snowflake correspondants.
Les informations d’identification exposées semblent concerner les environnements Snowflake appartenant à Santander, Ticketmaster, au moins deux géants pharmaceutiques, un service de livraison de nourriture, un fournisseur public d’eau douce, etc. Nous avons également vu des noms d’utilisateur et des mots de passe exposés appartenant prétendument à un ancien employé de Snowflake.
TechCrunch ne nomme pas l’ancien employé car rien ne prouve qu’il ait fait quelque chose de mal. (Il est en fin de compte de la responsabilité de Snowflake et de ses clients de mettre en œuvre et d’appliquer des politiques de sécurité qui empêchent les intrusions résultant du vol des informations d’identification des employés.)
Nous n’avons pas testé les noms d’utilisateur et mots de passe volés car cela constituerait une violation de la loi. En tant que tel, on ne sait pas si les informations d’identification sont actuellement utilisées activement ou si elles ont directement conduit à des compromissions de compte ou à des vols de données. Au lieu de cela, nous avons travaillé pour vérifier l’authenticité des informations d’identification exposées par d’autres moyens. Cela inclut la vérification des pages de connexion individuelles des environnements Snowflake qui ont été exposées par le malware voleur d’informations, qui étaient toujours actives et en ligne au moment de la rédaction.
Les informations d’identification que nous avons vues incluent l’adresse e-mail (ou le nom d’utilisateur) de l’employé, son mot de passe et l’adresse Web unique pour se connecter à l’environnement Snowflake de son entreprise. Lorsque nous avons vérifié les adresses Web des environnements Snowflake – souvent composées de lettres et de chiffres aléatoires – nous avons constaté que les pages de connexion des clients Snowflake répertoriées sont accessibles au public, même si elles ne peuvent pas être consultées en ligne.
TechCrunch a confirmé que les environnements Snowflake correspondent aux entreprises dont les connexions des employés ont été compromises. Nous avons pu le faire car chaque page de connexion que nous avons vérifiée comportait deux options distinctes pour se connecter.
Une façon de se connecter repose sur Okta, un fournisseur d’authentification unique qui permet aux utilisateurs de Snowflake de se connecter avec les informations d’identification de leur propre entreprise à l’aide de MFA. Lors de nos vérifications, nous avons constaté que ces pages de connexion Snowflake étaient redirigées vers les pages de connexion Live Nation (pour Ticketmaster) et Santander. Nous avons également trouvé un ensemble d’informations d’identification appartenant à un employé de Snowflake, dont la page de connexion Okta redirige toujours vers une page de connexion interne de Snowflake qui n’existe plus.
L’autre option de connexion de Snowflake permet à l’utilisateur d’utiliser uniquement son nom d’utilisateur et son mot de passe Snowflake, selon que l’entreprise cliente applique ou non la MFA sur le compte, comme détaillé dans la propre documentation d’assistance de Snowflake. Ce sont ces informations d’identification qui semblent avoir été volées par le logiciel malveillant voleur d’informations sur les ordinateurs des employés.
On ne sait pas exactement quand les identifiants des employés ont été volés ni depuis combien de temps ils sont en ligne.
Certaines preuves suggèrent que plusieurs employés ayant accès aux environnements Snowflake de leur entreprise ont déjà vu leurs ordinateurs compromis par des logiciels malveillants voleurs d’informations. Selon une vérification du service de notification de violation Have I Been Pwned, plusieurs adresses e-mail d’entreprise utilisées comme noms d’utilisateur pour accéder aux environnements Snowflake ont été trouvées dans un récent vidage de données contenant des millions de mots de passe volés extraits de divers canaux Telegram utilisés pour partager des mots de passe volés.
La porte-parole de Snowflake, Danica Stanczak, a refusé de répondre aux questions spécifiques de TechCrunch, notamment si les données de ses clients ont été trouvées dans le compte démo de l’employé de Snowflake. Dans un communiqué, Snowflake a déclaré qu’il “suspendait certains comptes d’utilisateurs lorsqu’il existe de forts indicateurs d’activité malveillante”.
Snowflake a ajouté : « Dans le cadre du modèle de responsabilité partagée de Snowflake, les clients sont responsables de l’application de la MFA avec leurs utilisateurs. » Le porte-parole a déclaré que Snowflake “envisageait toutes les options pour l’activation de l’AMF, mais nous n’avons finalisé aucun plan pour le moment”.
Contactée par e-mail, la porte-parole de Live Nation, Kaitlyn Henrich, n’a fait aucun commentaire au moment de mettre sous presse.
Santander n’a pas répondu à une demande de commentaire.
L’absence de MFA a entraîné d’énormes violations
Jusqu’à présent, la réponse de Snowflake laisse de nombreuses questions sans réponse et met à nu un certain nombre d’entreprises qui ne profitent pas des avantages offerts par la sécurité MFA.
Ce qui est clair, c’est que Snowflake porte au moins une certaine responsabilité en n’exigeant pas de ses utilisateurs qu’ils activent la fonction de sécurité, et en supporte désormais le poids – avec ses clients.
La violation de données chez Ticketmaster impliquerait plus de 560 millions de dossiers clients, selon les cybercriminels qui font la publicité des données en ligne. (Live Nation ne fera aucun commentaire sur le nombre de clients concernés par la violation.) Si cela était prouvé, Ticketmaster serait la plus grande violation de données aux États-Unis de l’année jusqu’à présent, et l’une des plus importantes de l’histoire récente.
Snowflake est la dernière entreprise en date d’une série d’incidents de sécurité très médiatisés et de violations de données importantes causées par l’absence de MFA.
L’année dernière, les cybercriminels ont supprimé environ 6,9 millions de dossiers clients de comptes 23andMe qui n’étaient pas protégés sans MFA, ce qui a incité la société de tests génétiques – et ses concurrents – à exiger que les utilisateurs activent MFA par défaut pour éviter une répétition de l’attaque.
Et plus tôt cette année, Change Healthcare, le géant des technologies de la santé appartenant à UnitedHealth, a admis que des pirates informatiques avaient pénétré par effraction dans ses systèmes et volé d’énormes quantités de données de santé sensibles à partir d’un système non protégé par MFA. Le géant de la santé n’a pas encore indiqué combien de personnes ont vu leurs informations compromises, mais a déclaré que cela affecterait probablement une « proportion substantielle de personnes en Amérique ».
En savez-vous plus sur les intrusions dans le compte Snowflake ? Entrer en contact. Pour contacter ce journaliste, contactez Signal et WhatsApp au +1 646-755-8849, ou par email. Vous pouvez également envoyer des fichiers et des documents via SecureDrop.