La empresa de análisis de datos en la nube Snowflake está en el centro de una reciente serie de presuntos robos de datos, mientras sus clientes corporativos luchan por entender si sus almacenes de datos en la nube se han visto comprometidos.
El gigante de datos con sede en Boston ayuda a algunas de las corporaciones globales más grandes, incluidos bancos, proveedores de atención médica y empresas de tecnología, a almacenar y analizar sus grandes cantidades de datos, como datos de clientes, en la nube.
La semana pasada, las autoridades australianas hicieron sonar la alarma diciendo que se habían enterado de “compromisos exitosos de varias empresas que utilizan entornos Snowflake”, sin nombrar a las empresas. Los piratas informáticos habían afirmado en un conocido foro sobre delitos cibernéticos que habían robado cientos de millones de registros de clientes del Banco Santander y Ticketmaster, dos de los mayores clientes de Snowflake. Santander confirmó una violación de una base de datos “alojada por un proveedor externo”, pero no nombró al proveedor en cuestión. El viernes, Live Nation confirmó que su filial Ticketmaster fue pirateada y que la base de datos robada estaba alojada en Snowflake.
Snowflake reconoció en un breve comunicado que tenía conocimiento de un “acceso potencialmente no autorizado” a un “número limitado” de cuentas de clientes, sin especificar cuáles, pero que no ha encontrado pruebas de que se hubiera producido una violación directa de sus sistemas. Más bien, Snowflake lo llamó una “campaña dirigida a usuarios con autenticación de un solo factor” y que los piratas informáticos utilizaron “previamente comprado u obtenido mediante malware de robo de información”, que está diseñado para extraer las contraseñas guardadas de un usuario de su computadora.
A pesar de los datos confidenciales que Snowflake guarda para sus clientes, Snowflake permite a cada cliente administrar la seguridad de sus entornos y no inscribe automáticamente ni requiere que sus clientes utilicen autenticación multifactor, o MFA, según la documentación del cliente de Snowflake. No hacer cumplir el uso de MFA parece ser la forma en que los ciberdelincuentes supuestamente obtuvieron grandes cantidades de datos de algunos de los clientes de Snowflake, algunos de los cuales configuraron sus entornos sin la medida de seguridad adicional.
Snowflake admitió que una de sus propias cuentas “de demostración” se vio comprometida porque no estaba protegida más allá de un nombre de usuario y contraseña, pero afirmó que la cuenta “no contenía datos confidenciales”. No está claro si esta cuenta de demostración robada tiene algún papel en las recientes filtraciones.
TechCrunch ha visto esta semana cientos de supuestas credenciales de clientes de Snowflake que están disponibles en línea para que los ciberdelincuentes las utilicen como parte de campañas de piratería, lo que sugiere que el riesgo de que se comprometan las cuentas de los clientes de Snowflake puede ser mucho más amplio de lo que se pensaba.
Las credenciales fueron robadas mediante malware de robo de información que infectó las computadoras de los empleados que tienen acceso al entorno Snowflake de su empleador.
Algunas de las credenciales vistas por TechCrunch parecen pertenecer a empleados de empresas que se sabe que son clientes de Snowflake, incluidas Ticketmaster y Santander, entre otras. Los empleados con acceso a Snowflake incluyen ingenieros de bases de datos y analistas de datos, algunos de los cuales hacen referencia a su experiencia con Snowflake en sus páginas de LinkedIn.
Por su parte, Snowflake ha dicho a los clientes que activen inmediatamente MFA para sus cuentas. Hasta entonces, las cuentas de Snowflake que no imponen el uso de MFA para iniciar sesión ponen sus datos almacenados en riesgo de verse comprometidos por ataques simples como el robo y la reutilización de contraseñas.
Cómo verificamos los datos
Una fuente con conocimiento de las operaciones cibercriminales señaló a TechCrunch un sitio web donde los posibles atacantes pueden buscar en listas de credenciales que han sido robadas de diversas fuentes, como el robo de información de malware en la computadora de alguien o recopiladas de violaciones de datos anteriores. (TechCrunch no está vinculado al sitio donde están disponibles las credenciales robadas para no ayudar a los malos actores).
En total, TechCrunch ha visto más de 500 credenciales que contienen nombres de usuario y contraseñas de empleados, junto con las direcciones web de las páginas de inicio de sesión para los entornos Snowflake correspondientes.
Las credenciales expuestas parecen pertenecer a entornos Snowflake pertenecientes a Santander, Ticketmaster, al menos dos gigantes farmacéuticos, un servicio de entrega de alimentos, un proveedor público de agua dulce y otros. También hemos visto nombres de usuario y contraseñas expuestos que supuestamente pertenecen a un ex empleado de Snowflake.
TechCrunch no nombra al ex empleado porque no hay evidencia de que haya hecho algo malo. (En última instancia, es responsabilidad de Snowflake y de sus clientes implementar y hacer cumplir políticas de seguridad que prevengan las intrusiones que resulten del robo de credenciales de los empleados).
No probamos los nombres de usuario y contraseñas robados porque hacerlo violaría la ley. Como tal, se desconoce si las credenciales están actualmente en uso activo o si condujeron directamente a compromisos de cuentas o robos de datos. En cambio, trabajamos para verificar la autenticidad de las credenciales expuestas de otras maneras. Esto incluye verificar las páginas de inicio de sesión individuales de los entornos Snowflake que fueron expuestas por el malware de robo de información, que todavía estaban activas y en línea al momento de escribir este artículo.
Las credenciales que hemos visto incluyen la dirección de correo electrónico (o nombre de usuario) del empleado, su contraseña y la dirección web única para iniciar sesión en el entorno Snowflake de su empresa. Cuando verificamos las direcciones web de los entornos de Snowflake, a menudo compuestas por letras y números aleatorios, encontramos que las páginas de inicio de sesión de clientes de Snowflake enumeradas son de acceso público, incluso si no se pueden buscar en línea.
TechCrunch confirmó que los entornos Snowflake corresponden a las empresas cuyos inicios de sesión de los empleados se vieron comprometidos. Pudimos hacer esto porque cada página de inicio de sesión que revisamos tenía dos opciones separadas para iniciar sesión.
Una forma de iniciar sesión se basa en Okta, un proveedor de inicio de sesión único que permite a los usuarios de Snowflake iniciar sesión con las credenciales corporativas de su propia empresa mediante MFA. En nuestras comprobaciones, encontramos que estas páginas de inicio de sesión de Snowflake redirigían a las páginas de inicio de sesión de Live Nation (para Ticketmaster) y Santander. También encontramos un conjunto de credenciales que pertenecen a un empleado de Snowflake, cuya página de inicio de sesión de Okta todavía redirige a una página de inicio de sesión interna de Snowflake que ya no existe.
La otra opción de inicio de sesión de Snowflake permite al usuario usar solo su nombre de usuario y contraseña de Snowflake, dependiendo de si el cliente corporativo aplica MFA en la cuenta, como se detalla en la propia documentación de soporte de Snowflake. Son estas credenciales las que parecen haber sido robadas por el malware de robo de información de las computadoras de los empleados.
No está claro exactamente cuándo fueron robadas las credenciales de los empleados ni durante cuánto tiempo estuvieron en línea.
Existe cierta evidencia que sugiere que varios empleados con acceso a los entornos Snowflake de su empresa tuvieron sus computadoras previamente comprometidas por malware de robo de información. Según una verificación del servicio de notificación de infracciones Have I Been Pwned, varias de las direcciones de correo electrónico corporativas utilizadas como nombres de usuario para acceder a los entornos Snowflake se encontraron en un volcado de datos reciente que contenía millones de contraseñas robadas extraídas de varios canales de Telegram utilizados para compartir contraseñas robadas.
La portavoz de Snowflake, Danica Stanczak, se negó a responder preguntas específicas de TechCrunch, incluido si se encontró alguno de los datos de sus clientes en la cuenta de demostración del empleado de Snowflake. En un comunicado, Snowflake dijo que está “suspendiendo ciertas cuentas de usuarios donde hay fuertes indicadores de actividad maliciosa”.
Snowflake agregó: “Según el modelo de responsabilidad compartida de Snowflake, los clientes son responsables de hacer cumplir MFA con sus usuarios”. El portavoz dijo que Snowflake estaba “considerando todas las opciones para la habilitación de MFA, pero no hemos finalizado ningún plan en este momento”.
Cuando se contactó por correo electrónico, la portavoz de Live Nation, Kaitlyn Henrich, no hizo comentarios al cierre de esta edición.
Santander no respondió a una solicitud de comentarios.
La falta de MFA resultó en enormes violaciones
La respuesta de Snowflake hasta ahora deja muchas preguntas sin respuesta y deja al descubierto una serie de empresas que no están aprovechando los beneficios que proporciona la seguridad MFA.
Lo que está claro es que Snowflake tiene al menos cierta responsabilidad por no exigir a sus usuarios que activen la función de seguridad, y ahora es el más afectado por ello, junto con sus clientes.
La filtración de datos en Ticketmaster supuestamente afecta a más de 560 millones de registros de clientes, según los ciberdelincuentes que publicitan los datos en línea. (Live Nation no quiso comentar cuántos clientes se ven afectados por la violación). Si se demuestra, Ticketmaster sería la mayor violación de datos de Estados Unidos en lo que va del año, y una de las más grandes de la historia reciente.
Snowflake es la última empresa de una serie de incidentes de seguridad de alto perfil y violaciones de datos importantes causadas por la falta de MFA.
El año pasado, los ciberdelincuentes eliminaron alrededor de 6,9 millones de registros de clientes de cuentas de 23andMe que no estaban protegidas sin MFA, lo que llevó a la empresa de pruebas genéticas (y a sus competidores) a exigir a los usuarios que habilitaran MFA de forma predeterminada para evitar un ataque repetido.
Y a principios de este año, el gigante de tecnología sanitaria Change Healthcare, propiedad de UnitedHealth, admitió que piratas informáticos irrumpieron en sus sistemas y robaron enormes cantidades de datos sanitarios confidenciales de un sistema no protegido con MFA. El gigante de la salud aún no ha dicho cuántas personas vieron comprometida su información, pero dijo que es probable que afecte a una “proporción sustancial de personas en Estados Unidos”.
¿Sabe más sobre las intrusiones en las cuentas de Snowflake? Ponerse en contacto. Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.
