Los problemas de seguridad que enfrenta Snowflake tras una reciente oleada de robos de datos de clientes están, por así decirlo, creciendo como una bola de nieve. Después de que Ticketmaster fue la primera compañía en relacionar su reciente brecha de datos con la empresa de datos en la nube Snowflake, el sitio de comparación de préstamos LendingTree ha confirmado que su filial QuoteWizard tuvo datos robados de Snowflake.
«Podemos confirmar que utilizamos Snowflake para nuestras operaciones comerciales, y que fuimos notificados por ellos de que nuestra subsidiaria, QuoteWizard, podría haber tenido datos impactados por este incidente», dijo Megan Greuling, portavoz de LendingTree, a TechCrunch.
«Tomamos estos asuntos en serio, y justo después de recibir la notificación de [Snowflake], lanzamos una investigación interna», señaló la portavoz. «Hasta el momento, no parece que la información de cuentas financieras de los consumidores haya sido impactada, ni la información de la entidad matriz, LendingTree», agregó, declinando hacer más comentarios citando la investigación en curso.
A medida que más clientes afectados se hacen públicos, Snowflake ha dicho poco más allá de una breve declaración en su sitio web reiterando que no hubo una violación de datos en sus propios sistemas, sino que sus clientes no estaban utilizando autenticación multifactor, o MFA, una medida de seguridad que Snowflake no impone ni requiere que sus clientes habiliten de forma predeterminada. Snowflake fue sorprendido por el incidente, ya que la cuenta de «demostración» de un ex empleado fue comprometida porque solo estaba protegida con un nombre de usuario y contraseña.
En un comunicado del viernes, Snowflake se mantuvo firme en su respuesta hasta el momento, afirmando que su posición «permanece inalterada». Citando su declaración anterior del domingo, el director de seguridad de la información de Snowflake, Brad Jones, dijo que se trató de una «campaña dirigida a usuarios con autenticación de un solo factor» y utilizando credenciales robadas de malware que roba información o obtenidas de brechas de datos anteriores.
La falta de MFA parece ser cómo los ciberdelincuentes descargaron grandes cantidades de datos de los entornos de los clientes de Snowflake, que no estaban protegidos por la capa de seguridad adicional.
A lo largo de la semana, TechCrunch encontró en línea cientos de credenciales de clientes de Snowflake robadas por malware que roba contraseñas que infectaron las computadoras de empleados que tienen acceso a su entorno de Snowflake. La cantidad de credenciales sugiere que sigue existiendo un riesgo para los clientes de Snowflake que aún no han cambiado sus contraseñas o habilitado MFA.
Durante la semana, TechCrunch ha enviado más de una docena de preguntas a Snowflake sobre el incidente en curso que afecta a sus clientes mientras seguimos informando sobre la historia. Snowflake se negó a responder a nuestras preguntas en al menos seis ocasiones.
Aún no se sabe cuántos clientes de Snowflake están afectados, o si Snowflake lo sabe aún. Snowflake dijo que hasta la fecha ha notificado a un «número limitado de clientes de Snowflake» que la compañía cree que pueden haber sido afectados. En su sitio web, Snowflake dice que tiene más de 9800 clientes, incluidas empresas tecnológicas, empresas de telecomunicaciones y proveedores de atención médica. Es probable que, a pesar de la pequeña cantidad de brechas de clientes reportadas esta semana, apenas estemos en los primeros días para comprender la escala de este incidente.
Tal vez ni siquiera Snowflake sepa cuántos de sus clientes están afectados, ya que la empresa tendrá que depender de sus propios datos, como registros, o averiguar directamente de un cliente afectado.
Todavía no se sabe cuándo Snowflake pudo haber sabido de las intrusiones en las cuentas de sus clientes. La declaración de Snowflake dice que se dio cuenta el 23 de mayo de la «actividad de amenaza», el acceso a las cuentas de los clientes y la descarga de su contenido, pero posteriormente encontró evidencia de intrusiones que datan de un plazo no más específico que mediados de abril, lo que sugiere que la empresa tiene algunos datos en los que confiar.
Pero eso también deja abierta la pregunta de por qué Snowflake no detectó en ese momento la extracción de grandes cantidades de datos de los clientes de sus servidores hasta mucho más tarde en mayo, o si lo hizo, por qué Snowflake no alertó públicamente a sus clientes antes.
La firma de respuesta a incidentes Mandiant, a la que Snowflake llamó para ayudar con la divulgación a sus clientes, le dijo a Bleeping Computer a fines de mayo que la firma ya había estado ayudando a las organizaciones afectadas durante «varias semanas».
Una línea clave de la declaración de Snowflake dice: «Encontramos evidencia de que un actor amenaza obtuvo credenciales personales y accedió a cuentas de demostración pertenecientes a un ex empleado de Snowflake. No contenía datos sensibles». Algunas de las credenciales de clientes robadas vinculadas al malware que roba información incluyen las pertenecientes a un entonces empleado de Snowflake, según una revisión de TechCrunch.
Como hemos señalado anteriormente, TechCrunch no está nombrando al empleado, ya que no está claro si hizo algo mal. El hecho de que Snowflake fuera descubierto por su propia falta de aplicación de MFA permitiendo que los ciberdelincuentes descargaran datos de la cuenta de «demostración» de un entonces empleado usando solo su nombre de usuario y contraseña destaca un problema fundamental en el modelo de seguridad de Snowflake.
Sin embargo, sigue sin estar claro cuál es el papel, si es que tiene alguno, que esta cuenta de demostración tiene en los robos de datos de los clientes, porque aún no se sabe qué datos se almacenaban dentro de ella, o si contenía datos de otros clientes de Snowflake.
Snowflake se negó a decir qué papel, si es que tiene alguno, tiene la cuenta de demostración del entonces empleado de Snowflake en los recientes robos de datos de clientes. Snowflake reiteró que la cuenta de demostración «no contenía datos sensibles», pero rechazó repetidamente decir cómo la empresa define lo que considera «datos sensibles».
Preguntamos si Snowflake cree que la información de identificación personal de los individuos es datos sensibles. Snowflake declinó hacer comentarios.
No está claro por qué Snowflake no ha restablecido las contraseñas de forma proactiva, o ha requerido y aplicado el uso de MFA en las cuentas de sus clientes. La recomendación de Snowflake a sus clientes es restablecer y rotar las credenciales de Snowflake y aplicar MFA en todas las cuentas. Snowflake anteriormente le dijo a TechCrunch que sus clientes son responsables de su propia seguridad: «Bajo el modelo de responsabilidad compartida de Snowflake, los clientes son responsables de aplicar MFA con sus usuarios». Pero dado que estos robos de datos de clientes de Snowflake están vinculados al uso de nombres de usuario y contraseñas robadas de cuentas que no están protegidas con MFA, resulta inusual que Snowflake no haya intervenido en nombre de sus clientes para proteger sus cuentas con restablecimientos de contraseñas o la aplicación de MFA.
No es algo sin precedentes. El año pasado, los ciberdelincuentes obtuvieron 6,9 millones de registros de usuarios y genéticos de cuentas de 23andMe que no estaban protegidas con MFA. 23andMe restableció las contraseñas de los usuarios como medida de precaución para evitar más ataques de recopilación de datos, y posteriormente requirió el uso de MFA en todas las cuentas de sus usuarios.
Le preguntamos a Snowflake si la compañía planeaba restablecer las contraseñas de las cuentas de sus clientes para prevenir posibles intrusiones adicionales. Snowflake declinó hacer comentarios.
Al parecer, Snowflake está avanzando hacia implementar MFA de forma predeterminada, según el sitio de noticias tecnológicas Runtime, citando al director ejecutivo de Snowflake, Sridhar Ramaswamy, en una entrevista esta semana. Esto fue confirmado más tarde por el CISO de Snowflake, Jones, en la actualización del viernes.
«También estamos desarrollando un plan para requerir que nuestros clientes implementen controles de seguridad avanzados, como la autenticación multifactor (MFA) o políticas de red, especialmente para las cuentas privilegiadas de los clientes de Snowflake», dijo Jones.
No se proporcionó un plazo para el plan.
¿Sabes más sobre las intrusiones en las cuentas de Snowflake? Ponte en contacto. Para contactar a este reportero, comunícate a través de Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puedes enviar archivos y documentos a través de SecureDrop.