Home Tecnología Lo que Snowflake no dice sobre las violaciones de datos de sus clientes

Lo que Snowflake no dice sobre las violaciones de datos de sus clientes

by internauta
0 comment


Los problemas de seguridad de Snowflake tras una reciente serie de robos de datos de clientes están, a falta de una palabra mejor, en aumento.

Después de que Ticketmaster fuera la primera empresa en vincular su reciente violación de datos con la empresa de datos en la nube Snowflake, el sitio de comparación de préstamos LendingTree ha confirmado que a su filial QuoteWizard le robaron datos de Snowflake.

“Podemos confirmar que utilizamos Snowflake para nuestras operaciones comerciales y que nos notificaron que nuestra subsidiaria, QuoteWizard, puede haber tenido datos afectados por este incidente”, dijo a TechCrunch Megan Greuling, portavoz de LendingTree.

“Nos tomamos estos asuntos en serio e inmediatamente después de escuchar a [Snowflake] inició una investigación interna”, dijo el portavoz. “A partir de este momento, no parece que la información de la cuenta financiera del consumidor se haya visto afectada, ni la información de la entidad matriz, LendingTree”, añadió el portavoz, declinando hacer más comentarios citando su investigación en curso.

A medida que más clientes afectados se presentan, Snowflake ha dicho poco más allá de una breve declaración en su sitio web reiterando que no hubo una violación de datos de sus propios sistemas, sino que sus clientes no estaban usando autenticación multifactor, o MFA, una medida de seguridad que Snowflake no exige ni exige a sus clientes que lo habiliten de forma predeterminada. Snowflake se vio sorprendido por el incidente y dijo que la cuenta “de demostración” de un ex empleado estaba comprometida porque solo estaba protegida con un nombre de usuario y contraseña.

En un comunicado el viernes, Snowflake se mantuvo firme en su respuesta hasta el momento y afirmó que su posición “permanece sin cambios”. Citando su declaración anterior del domingo, el director de seguridad de la información de Snowflake, Brad Jones, dijo que se trataba de una “campaña dirigida a usuarios con autenticación de un solo factor” y que utilizaba credenciales robadas de malware de robo de información u obtenidas de violaciones de datos anteriores.

La falta de MFA parece deberse a la forma en que los ciberdelincuentes descargaron enormes cantidades de datos de los entornos de los clientes de Snowflake, que no estaban protegidos por la capa de seguridad adicional.

TechCrunch a principios de esta semana encontró en línea cientos de credenciales de clientes de Snowflake robadas por un malware que roba contraseñas y que infectó las computadoras de los empleados que tienen acceso al entorno Snowflake de su empleador. La cantidad de credenciales sugiere que sigue existiendo un riesgo para los clientes de Snowflake que aún no han cambiado sus contraseñas o habilitado MFA.

A lo largo de la semana, TechCrunch envió más de una docena de preguntas a Snowflake sobre el incidente en curso que afecta a sus clientes mientras continuamos informando sobre la historia. Snowflake se negó a responder nuestras preguntas al menos en seis ocasiones.

Estas son algunas de las preguntas que nos hacemos y por qué.

Aún no se sabe cuántos clientes de Snowflake se ven afectados o si Snowflake ya lo sabe.

Snowflake dijo que hasta la fecha ha notificado a un “número limitado de clientes de Snowflake” que la compañía cree que pueden haber sido afectados. En su sitio web, Snowflake dice que tiene más de 9.800 clientes, incluidas empresas de tecnología, empresas de telecomunicaciones y proveedores de atención médica.

La portavoz de Snowflake, Danica Stanczak, se negó a decir si el número de clientes afectados era de decenas, docenas, cientos o más.

Es probable que, a pesar del puñado de infracciones de clientes reportadas esta semana, estemos apenas en los primeros días para comprender la magnitud de este incidente.

Puede que ni siquiera Snowflake tenga claro cuántos de sus clientes están todavía afectados, ya que la empresa tendrá que confiar en sus propios datos, como registros, o informarse directamente de un cliente afectado.

No se sabe qué tan pronto Snowflake pudo haberse enterado de las intrusiones en las cuentas de sus clientes. La declaración de Snowflake dice que se dio cuenta el 23 de mayo de la “actividad amenazante” (el acceso a cuentas de clientes y la descarga de sus contenidos), pero posteriormente encontró evidencia de intrusiones que se remontan a un período de tiempo no más específico que mediados de abril, lo que sugiere que la compañía tiene algunos datos en los que confiar.

Pero eso también deja abierta la pregunta de por qué Snowflake no detectó en ese momento la filtración de grandes cantidades de datos de clientes de sus servidores hasta mucho más tarde en mayo, o si lo hizo, por qué Snowflake no alertó públicamente a sus clientes antes.

La empresa de respuesta a incidentes Mandiant, a la que Snowflake llamó para ayudar a llegar a sus clientes, le dijo a Bleeping Computer a finales de mayo que la empresa ya había estado ayudando a las organizaciones afectadas durante “varias semanas”.

Todavía no sabemos qué había en la cuenta de demostración del ex empleado de Snowflake o si es relevante para las violaciones de datos de los clientes.

Una línea clave de la declaración de Snowflake dice: “Encontramos evidencia de que un actor de amenazas obtuvo credenciales personales y accedió a cuentas de demostración pertenecientes a un ex empleado de Snowflake. No contenía datos sensibles”.

Algunas de las credenciales de clientes robadas vinculadas al malware de robo de información incluyen aquellas que pertenecen a un entonces empleado de Snowflake, según una revisión de TechCrunch.

Como señalamos anteriormente, TechCrunch no nombra al empleado porque no está claro que haya hecho algo mal. El hecho de que Snowflake fuera sorprendido por su propia falta de cumplimiento de la MFA, permitiendo a los ciberdelincuentes descargar datos de la cuenta “demo” de un entonces empleado utilizando sólo su nombre de usuario y contraseña, resalta un problema fundamental en el modelo de seguridad de Snowflake.

Pero aún no está claro qué papel, si es que tiene alguno, tiene esta cuenta de demostración en los robos de datos de los clientes porque aún no se sabe qué datos se almacenaron en ella o si contenía datos de otros clientes de Snowflake.

Snowflake se negó a decir qué papel, si es que tiene alguno, tiene la cuenta de demostración del entonces empleado de Snowflake en las recientes infracciones de clientes. Snowflake reiteró que la cuenta de demostración “no contenía datos confidenciales”, pero se negó repetidamente a decir cómo define la empresa lo que considera “datos confidenciales”.

Preguntamos si Snowflake cree que la información de identificación personal de las personas es información confidencial. Snowflake se negó a hacer comentarios.

No está claro por qué Snowflake no ha restablecido las contraseñas de forma proactiva, ni ha requerido y aplicado el uso de MFA en las cuentas de sus clientes.

No es inusual que las empresas fuercen el restablecimiento de las contraseñas de sus clientes luego de una violación de datos. Pero si le preguntas a Snowflake, no ha habido incumplimiento. Y si bien eso puede ser cierto en el sentido de que no ha habido un compromiso aparente de su infraestructura central, los clientes de Snowflake están siendo atacados en gran medida.

El consejo de Snowflake a sus clientes es restablecer y rotar las credenciales de Snowflake y aplicar MFA en todas las cuentas. Snowflake le dijo anteriormente a TechCrunch que sus clientes están en apuros por su propia seguridad: “Bajo el modelo de responsabilidad compartida de Snowflake, los clientes son responsables de hacer cumplir MFA con sus usuarios”.

Pero dado que estos robos de datos de clientes de Snowflake están vinculados al uso de nombres de usuario y contraseñas robados de cuentas que no están protegidas con MFA, es inusual que Snowflake no haya intervenido en nombre de sus clientes para proteger sus cuentas con restablecimientos de contraseñas o MFA obligatorio.

No es algo sin precedentes. El año pasado, los ciberdelincuentes eliminaron 6,9 millones de registros genéticos y de usuarios de cuentas de 23andMe que no estaban protegidas con MFA. 23andMe restableció las contraseñas de los usuarios por precaución para evitar más ataques de scraping y posteriormente requirió el uso de MFA en todas las cuentas de sus usuarios.

Le preguntamos a Snowflake si la empresa planeaba restablecer las contraseñas de las cuentas de sus clientes para evitar posibles nuevas intrusiones. Snowflake se negó a hacer comentarios.

Snowflake parece estar avanzando hacia la implementación de MFA de forma predeterminada, según el sitio de noticias tecnológicas Runtime, citando al director ejecutivo de Snowflake, Sridhar Ramaswamy, en una entrevista esta semana. Esto fue confirmado más tarde por el CISO Jones de Snowflake en la actualización del viernes.

“También estamos desarrollando un plan para exigir a nuestros clientes que implementen controles de seguridad avanzados, como autenticación multifactor (MFA) o políticas de red, especialmente para cuentas de clientes privilegiadas de Snowflake”, dijo Jones.

No se dio un plazo para el plan.


¿Sabe más sobre las intrusiones en las cuentas de Snowflake? Ponerse en contacto. Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.

You may also like

Exploramos la red para colectar la información más importante que pueda ser compartida para los intereses de los internautas.

El Blog del Internauta 2022

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00