Hackers do notório grupo criminoso ShinyHunters, que roubaram dados da Ticketmaster e de outros clientes do provedor de nuvem Snowflake, afirmam que conseguiram obter acesso aos dados pessoais de milhões de usuários invadindo o sistema da contratada EPAM Systems.
O enorme ataque cibernético direcionado aos clientes da Snowflake afetou potencialmente 165 contas, mas apenas algumas foram identificadas até agora. Os hackers obtiveram informações sobre mais de 500 milhões de usuários do Ticketmaster. Além disso, o banco espanhol Santander anunciou que sua conta Snowflake foi hackeada. De acordo com o relatório publicado pelos hackers, os dados roubados contêm informações sobre as contas bancárias de 30 milhões de clientes do Santander, incluindo 6 milhões de números de contas e saldos, 28 milhões de números de cartões de crédito, bem como dados pessoais de funcionários do banco. A Lending Tree e a Advance Auto Parts também reconheceram a possibilidade de terem sido vítimas deste ataque.
Snowflake não revelou detalhes sobre como os hackers obtiveram acesso às contas dos clientes, dizendo apenas que os criminosos não invadiram diretamente a rede da empresa. Recentemente, a Mandiant, organização de propriedade do Google e contratada pela Snowflake para investigar os incidentes, relatou em seu blog que em alguns casos os cibercriminosos obtiveram acesso por meio de terceiros, sem nomear esses contratados ou explicar exatamente como isso aconteceu.
No entanto, em conversa com a Wired, um dos atacantes disse que uma dessas empresas contratantes era a EPAM Systems, uma empresa de desenvolvimento de software e serviços digitais com receitas anuais de cerca de 4,8 mil milhões de dólares. no sistema de funcionários EPAM para obter acesso a determinadas contas Snowflake.
A EPAM negou qualquer envolvimento no hacking e sugeriu que o hacker havia inventado a história. No entanto, o grupo ShinyHunters existe desde 2020 e desde então assumiu a responsabilidade por inúmeros ataques cibernéticos envolvendo roubo, vazamento ou venda de grandes quantidades de dados online.
Snowflake é uma grande empresa que fornece armazenamento de dados em nuvem e serviços de processamento analítico. De acordo com seu site, a EPAM desenvolve software e fornece uma variedade de serviços gerenciados para clientes em todo o mundo, principalmente na América do Norte, Europa, Ásia e Austrália. Cerca de 60% da receita da EPAM vem de clientes na América do Norte. Entre os serviços que a EPAM oferece aos clientes está assistência no uso e gerenciamento de contas Snowflake para armazenamento e análise de dados.
Segundo o hacker, o computador de um dos funcionários da EPAM foi infectado por malware, com a ajuda do qual os invasores obtiveram acesso aos dados deste dispositivo. Usando esse acesso, eles descobriram nomes de usuário e senhas não criptografados que um funcionário da EPAM usou para obter acesso às contas Snowflake de alguns dos principais clientes da empresa, incluindo a Ticketmaster. Esses dados, segundo os hackers, foram armazenados no sistema de gerenciamento de projetos Jira.
Usando essas credenciais, os hackers obtiveram acesso às contas do Snowflake porque a autenticação multifator não era necessária para acessá-las. Nos casos em que as credenciais necessárias não estavam no sistema do funcionário da EPAM, os hackers as procuravam em bancos de dados previamente roubados. Assim, para acessar a conta Snowflake da Ticketmaster, foram utilizadas contas roubadas em 2020, novamente com recurso a malware.
Depois que a Wired forneceu detalhes de como os hackers disseram que conseguiram obter acesso ao sistema de um funcionário da EPAM, um porta-voz da empresa simplesmente reiterou que não viu nenhuma evidência de que a EPAM estivesse envolvida no incidente. Um representante da EPAM não respondeu a perguntas adicionais feitas especificamente, incluindo o nome do funcionário e as credenciais para acessar a conta Snowflake Ticketmaster.
Embora a Wired não tenha conseguido confirmar as alegações dos hackers de que eles invadiram o computador de um funcionário da EPAM e usaram seus dados para acessar contas do Snowflake, os invasores forneceram à publicação um arquivo semelhante a uma lista de contas de funcionários da EPAM excluídas do diretório corporativo do Active Directory obtido depois de hackear sua estação de trabalho.
Além disso, o relatório da Mandiant afirma que os hackers usaram credenciais anteriormente roubadas por malware para comprometer cerca de 80% das contas Snowflake que identificaram, o que confirma indiretamente as palavras do grupo ShinyHunters sobre este método de acesso aos dados das vítimas.
Assim, mesmo que os hackers não tenham hackeado diretamente um funcionário da EPAM, eles claramente usaram credenciais roubadas dos sistemas comprometidos da empresa para posteriormente atacar seus clientes, incluindo titulares de contas Snowflake. O CISO da Snowflake, Brad Jones, também reconheceu que a falta de autenticação multifatorial contribuiu para o hack. Jones disse que sua empresa trabalhará no assunto.