Hackers roubaram dados de centenas de milhões de pessoas hackeando o serviço de análise em nuvem Snowflake

Atacantes desconhecidos, por meio de malware, invadiram os sistemas da empresa americana Snowflake, que lida com análise de dados em nuvem. Como resultado do incidente, os hackers roubaram informações pessoais de centenas de milhões de indivíduos – consumidores de empresas que atuam como clientes da Snowflake. Em particular, foram roubados dados de clientes do Banco Santander e da Ticketmaster.

Fonte da imagem: Pete Linforth / pixabay.com

Na semana passada, as autoridades australianas soaram o alarme quando anunciaram que tomaram conhecimento de “compromissos bem-sucedidos de várias empresas que utilizam ambientes Snowflake”, embora as próprias empresas não tenham sido identificadas. Enquanto isso, hackers anunciaram em fóruns especializados que conseguiram roubar centenas de milhões de registros de consumidores do Banco Santander e da Ticketmaster, dois dos maiores clientes da Snowflake. O Santander confirmou que um banco de dados “hospedado por um fornecedor terceirizado” foi hackeado, mas não revelou o nome do fornecedor. E a Live Nation confirmou que os dados de sua subsidiária Ticketmaster foram roubados e que o banco de dados roubado foi hospedado no Snowflake.

A Snowflake também admitiu que estava ciente do “acesso potencialmente não autorizado” a um “número limitado” de contas de clientes – sem ser específico; mas observou que não encontrou nenhuma evidência de invasão direta de seus sistemas. Segundo a operadora de nuvem, trata-se de uma “campanha direcionada a usuários com autenticação de fator único”, implementada por meio de malware que tem como objetivo roubar senhas armazenadas no computador do usuário. Apesar de o Snowflake armazenar os dados confidenciais de seus clientes, ele permite que eles gerenciem de forma independente a segurança de seus ambientes, sem exigir que instalem a autenticação multifator – cuja ausência provavelmente será explorada por invasores. A operadora de nuvem também admitiu que uma conta demo foi hackeada, que era protegida apenas por nome de usuário e senha, mas não continha informações confidenciais.

Fonte da imagem: takeapic/pixabay.com

Uma fonte anônima ciente dos métodos de trabalho dos cibercriminosos compartilhou com o recurso TechCrunch um link para um site onde são publicadas credenciais comprometidas – nele, os jornalistas encontraram mais de 500 pares de logins e senhas para acesso aos sistemas Snowflake. Essas credenciais pertencem ao Santander, à Ticketmaster, a pelo menos dois gigantes farmacêuticos, a um serviço de entrega de alimentos, a um fornecedor de água doce e a outras organizações. A lista também incluía nomes de usuário e senhas expostas que supostamente pertenciam a um ex-funcionário da própria Snowflake.

Também foi possível encontrar evidências indiretas de que credenciais foram roubadas por meio de malware. Em um recente despejo de milhões de logins e senhas roubados postados no Telegram, vários endereços de e-mail corporativos foram encontrados sendo usados ​​como nome de usuário para acessar ambientes Snowflake. A empresa disse que estava suspendendo algumas contas que apresentavam sinais de atividade maliciosa, mas observou que a responsabilidade de garantir a autenticação multifator nos sistemas é dos próprios usuários – Snowflake está atualmente considerando todas as opções para habilitar a autenticação multifator, mas os planos finais ainda não foram aprovados.