Snowflake-Datenleck: Hacker bestätigen Zugriff über Infostealer-Infektion

 (hudsonrock.com)
1 Punkte von GN⁺ 2024-06-01 | 1 Kommentare | Auf WhatsApp teilen
  • Am 31. Mai 2024 erlitt das Cloud-Unternehmen Snowflake ein massives Datenleck.
  • Hacker bestätigten gegenüber Hudson Rock, dass sie sich über eine Infostealer-Infektion Zugang verschafft hatten.
  • Die Hacker verkauften Daten mehrerer großer Unternehmen, darunter Ticketmaster und die Banco Santander, in einem russischsprachigen Cybercrime-Forum.

Methode des Angriffs

  • Die Hacker meldeten sich mit gestohlenen Zugangsdaten beim ServiceNow-Konto eines Snowflake-Mitarbeiters an.
  • Sie umgingen OKTA, erzeugten Session-Tokens und exfiltrierten große Datenmengen.
  • Die Hacker behaupten, dass rund 400 Unternehmen betroffen seien.

Weitere Belege

  • Die Hacker teilten Forschern von Hudson Rock eine CSV-Datei, die den Zugriff auf Snowflake-Server belegen soll.
  • Die Datei dokumentiert mehr als 2.000 Kundeninstanzen im Zusammenhang mit den europäischen Servern von Snowflake.

Ziel der Hacker

  • Die Hacker fordern von Snowflake 20 Millionen US-Dollar und wollen im Gegenzug die Daten zurückgeben.
  • Das Unternehmen reagierte nicht darauf.

Zunahme von Infostealer-Infektionen

  • Seit 2018 haben Infostealer-Infektionen um 6000 % zugenommen und sich zu einem wichtigen initialen Angriffsvektor entwickelt.
  • Sie werden genutzt, um Cyberangriffe wie Ransomware, Datenexfiltration, Kontoübernahmen und Unternehmensspionage durchzuführen.

Meinung von GN⁺

  • Bedeutung von Cybersicherheit: Dieser Vorfall zeigt, dass Unternehmen Cybersicherheit ernster nehmen müssen. Besonders wichtig ist der Umgang mit Zugangsdaten von Mitarbeitern.
  • Bedrohung durch Infostealer: Infostealer verbreiten sich extrem schnell, und Unternehmen müssen entsprechende Gegenmaßnahmen vorbereiten.
  • Reaktionsstrategie: Im Fall eines Angriffs sind schnelle Reaktionen und Strategien zur Schadensbegrenzung notwendig. Die späte Reaktion von Snowflake vergrößerte den Schaden.
  • Sicherheitsschulungen: Es ist wichtig, Sicherheitstrainings für Mitarbeiter zu verstärken, um das Bewusstsein für den Umgang mit Zugangsdaten und für Phishing-Angriffe zu schärfen.
  • Alternative Lösungen: Es kann sinnvoll sein, andere Cloud-Speicherlösungen mit ähnlichen Funktionen wie Snowflake in Betracht zu ziehen, etwa AWS S3 oder Google Cloud Storage.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-01
Hacker-News-Kommentare
  • Im Zuge der Zusammenarbeit mit Snowflake hat ein SE (Solution Engineer) eine Demo-Umgebung eingerichtet und dabei Kundendaten verwendet. Das Problem scheint dadurch entstanden zu sein, dass der Kunde das Auslaufen der ID nicht verwaltet hat.
  • Titel und Inhalt des Artikels stimmen nicht überein. Es scheint sich nicht um ein Problem im Zusammenhang mit der Offenlegung von Kundendaten zu handeln, und die Zahl der tatsächlich betroffenen Kunden ist gering.
  • Felipe von Snowflake teilt aktuelle Informationen zu dem Problem. Über den Link lassen sich die aktualisierten Inhalte einsehen.
  • Der Screenshot des Chatprotokolls ist beeindruckend. Es wird behauptet, dass der Kriminelle mit diesem Unternehmen kommuniziert und dank der Hilfe des Unternehmens der Vorfall verhindert werden konnte.
  • Das Snowflake-System scheint so konzipiert zu sein, dass ein einzelnes Administratorkonto sämtlichen Zugriff erlaubt. Das erhöht die Glaubwürdigkeit der Vorfälle bei Ticketmaster und Santander.
  • Snowflake behauptet, dass das Problem durch einen Fehler des Kunden verursacht wurde. Es wird betont, dass die Untersuchung keine Schwachstelle oder Fehlkonfiguration im Snowflake-Produkt ergeben habe.
  • Laut der offiziellen Stellungnahme von Snowflake steht dieser Vorfall mit offengelegten Benutzerzugangsdaten des Kunden in Zusammenhang. Es handelt sich nicht um ein Problem des Snowflake-Produkts selbst.
  • Es wird behauptet, dass der Ticketmaster-Vorfall durch den Diebstahl der Zugangsdaten eines Snowflake-Mitarbeiters mehr als 400 Unternehmen betroffen habe. Dabei werden Zweifel an der Zuverlässigkeit von Hudson Rock geäußert.
  • Es wird erklärt, dass der Bedrohungsakteur das ServiceNow-Konto eines Snowflake-Mitarbeiters übernommen und so OKTA umgangen habe. Es wird um eine Erklärung der Rolle und Bedeutung von ServiceNow gebeten.
  • Es werden Zweifel daran geäußert, dass sich durch den Diebstahl der Zugangsdaten eines Snowflake-Mitarbeiters auf Kundendaten zugreifen lässt. Die Erwartungen an die Datensicherheit bei Snowflake sind hoch.