La compañía de análisis de datos en la nube, Snowflake, se encuentra en el centro de una reciente oleada de presuntos robos de datos, ya que sus clientes corporativos se apresuran a comprender si sus almacenes de datos en la nube han sido comprometidos.
Snowflake ayuda a algunas de las mayores corporaciones globales, incluidos bancos, proveedores de atención médica y empresas tecnológicas, a almacenar y analizar sus vastas cantidades de datos, como datos de clientes, en la nube.
La semana pasada, las autoridades australianas sonaron la alarma diciendo que se habían dado cuenta de «compromisos exitosos de varias empresas que utilizan ambientes Snowflake», sin nombrar las empresas. Hackers habían afirmado en un conocido foro de cibercrimen que habían robado cientos de millones de registros de clientes del Banco Santander y Ticketmaster, dos de los mayores clientes de Snowflake. Santander confirmó una violación de una base de datos «alojada por un proveedor externo», pero no nombró al proveedor en cuestión. El viernes, Live Nation confirmó que su subsidiaria Ticketmaster fue hackeada y que la base de datos robada estaba alojada en Snowflake.
Snowflake reconoció en una breve declaración que era consciente de «accesos potencialmente no autorizados» a un «número limitado» de cuentas de clientes, sin especificar cuáles, pero que no encontró evidencia de que hubiera una violación directa de sus sistemas. Más bien, Snowflake lo llamó una «campaña dirigida a usuarios con autenticación de un solo factor» y que los hackers usaron «previamente comprados u obtenidos a través de malware de robo de información», diseñado para extraer las contraseñas guardadas de un usuario de su computadora.
A pesar de los datos sensibles que Snowflake almacena para sus clientes, Snowflake permite a cada cliente administrar la seguridad de sus entornos y no los inscribe automáticamente ni requiere que sus clientes usen autenticación multifactor, según la documentación del cliente de Snowflake. No hacer cumplir el uso de autenticación multifactor parece ser cómo los ciberdelincuentes presuntamente obtuvieron enormes cantidades de datos de algunos clientes de Snowflake, algunos de los cuales configuraron sus entornos sin la medida de seguridad adicional.
Snowflake admitió que una de sus propias cuentas de «demostración» fue comprometida porque no estaba protegida más allá de un nombre de usuario y una contraseña, pero afirmó que la cuenta «no contenía datos sensibles». No está claro si esta cuenta de demostración robada tiene algún papel en las violaciones recientes.
TechCrunch ha visto esta semana cientos de credenciales de presuntos clientes de Snowflake que están disponibles en línea para que los ciberdelincuentes las usen como parte de campañas de piratería, lo que sugiere que el riesgo de compromiso de cuentas de clientes de Snowflake puede ser mucho más amplio de lo que se conocía inicialmente.
Las credenciales fueron robadas por un malware de robo de información que infectó las computadoras de empleados que tienen acceso al entorno de Snowflake de su empleador.
Algunas de las credenciales vistas por TechCrunch parecen pertenecer a empleados de empresas conocidas por ser clientes de Snowflake, incluidos Ticketmaster y Santander, entre otros. Los empleados con acceso a Snowflake incluyen ingenieros de bases de datos y analistas de datos, algunos de los cuales hacen referencia a su experiencia usando Snowflake en sus páginas de LinkedIn.
Por su parte, Snowflake ha pedido a los clientes que activen de inmediato la autenticación de múltiples factores para sus cuentas. Hasta entonces, las cuentas de Snowflake que no están aplicando el uso de autenticación de múltiples factores para iniciar sesión están poniendo en riesgo sus datos almacenados de compromisos de seguridad simples como el robo y la reutilización de contraseñas.
Una fuente con conocimiento de las operaciones de cibercriminales señaló a TechCrunch un sitio web donde los posibles atacantes pueden buscar listas de credenciales que han sido robadas de varias fuentes, como malware de robo de información en la computadora de alguien o recopiladas de brechas de datos anteriores. (TechCrunch no está enlazando al sitio donde se encuentran las credenciales robadas para no ayudar a los actores malintencionados).
En total, TechCrunch ha visto más de 500 credenciales que contienen nombres de usuario y contraseñas de empleados, junto con las direcciones web de las páginas de inicio de sesión de los entornos de Snowflake correspondientes.
Las credenciales expuestas parecen pertenecer a entornos de Snowflake pertenecientes a Santander, Ticketmaster, al menos dos gigantes farmacéuticos, un servicio de entrega de alimentos, un proveedor de agua dulce administrado públicamente y otros. También hemos visto nombres de usuario y contraseñas expuestos que supuestamente pertenecen a un ex empleado de Snowflake.
TechCrunch no está nombrando al ex empleado porque no hay evidencia de que hayan hecho algo malo. (En última instancia, tanto la responsabilidad de Snowflake como de sus clientes es implementar y hacer cumplir políticas de seguridad que prevengan intrusiones que resulten del robo de credenciales de empleados).
No probamos las credenciales robadas, ya que hacerlo sería ilegal. Como tal, se desconoce si las credenciales están actualmente en uso activo o si llevaron directamente a compromisos de cuentas o robo de datos. En cambio, trabajamos para verificar la autenticidad de las credenciales expuestas de otras maneras. Esto incluye verificar las páginas de inicio de sesión individuales de los entornos de Snowflake que fueron expuestas por el malware de robo de información, que todavía estaban activas y en línea en el momento de escribir esto.
Las credenciales que hemos visto incluyen la dirección de correo electrónico del empleado (o nombre de usuario), su contraseña y la dirección web única para iniciar sesión en el entorno de Snowflake de su empresa. Cuando verificamos las direcciones web de los entornos de Snowflake, a menudo compuestos por letras y números aleatorios, encontramos que las páginas de inicio de sesión de clientes de Snowflake listadas son accesibles públicamente, incluso si no son buscables en línea.
TechCrunch confirmó que los entornos de Snowflake corresponden a las empresas cuyos inicios de sesión de empleados fueron comprometidos. Pudimos hacer esto porque cada página de inicio de sesión que verificamos tenía dos opciones separadas para iniciar sesión.
Una forma de iniciar sesión depende de Okta, un proveedor de inicio de sesión único que permite a los usuarios de Snowflake iniciar sesión con las credenciales corporativas de su propia empresa utilizando autenticación multifactor. En nuestras verificaciones, encontramos que estas páginas de inicio de sesión de Snowflake redirigían a páginas de inicio de sesión de Live Nation (para Ticketmaster) y Santander. También encontramos un conjunto de credenciales pertenecientes a un empleado de Snowflake, cuya página de inicio de sesión de Okta todavía redirige a una página de inicio de sesión interna de Snowflake que ya no existe.
La otra opción de inicio de sesión de Snowflake permite al usuario usar solo su nombre de usuario y contraseña de Snowflake, dependiendo de si el cliente corporativo aplica la autenticación multifactor en la cuenta, según la documentación de soporte de Snowflake. Parece que estas credenciales fueron robadas por el malware de robo de información de las computadoras de los empleados.
No está claro exactamente cuándo se robaron las credenciales de los empleados ni por cuánto tiempo han estado en línea.
Hay algunas evidencias que sugieren que varios empleados con acceso a los entornos de Snowflake de su empresa tuvieron sus computadoras comprometidas previamente por malware de robo de información. Según una verificación en el servicio de notificación de brechas Have I Been Pwned, varias de las direcciones de correo electrónico corporativo utilizadas como nombres de usuario para acceder a los entornos de Snowflake se encontraron en una reciente filtración de datos que contenía millones de contraseñas robadas extraídas de varios canales de Telegram utilizados para compartir contraseñas robadas.
Danica Stanczak, portavoz de Snowflake, declinó responder preguntas específicas de TechCrunch, incluido si se encontraron datos de clientes de Snowflake en la cuenta de demostración de un empleado de Snowflake. En una declaración, Snowflake dijo que está «suspendiendo ciertas cuentas de usuarios donde hay indicios fuertes de actividad maliciosa».
Snowflake agregó: «Bajo el modelo de responsabilidad compartida de Snowflake, los clientes son responsables de hacer cumplir la autenticación de múltiples factores con sus usuarios». El portavoz dijo que Snowflake está «considerando todas las opciones para la habilitación de la autenticación de múltiples factores, pero no hemos finalizado ningún plan en este momento.»
Cuando se le contactó por correo electrónico, la portavoz de Live Nation, Kaitlyn Henrich, no comentó hasta la publicación del artículo.
Santander no respondió a una solicitud de comentario.
La respuesta de Snowflake hasta el momento deja muchas preguntas sin respuesta y pone al descubierto una serie de empresas que no están cosechando los beneficios que brinda la seguridad de autenticación de múltiples factores.
Lo que está claro es que Snowflake tiene al menos alguna responsabilidad por no requerir que sus usuarios activen la función de seguridad y ahora está soportando el peso de eso, junto con sus clientes.
La filtración de datos en Ticketmaster supuestamente implica más de 560 millones de registros de clientes, según los cibercriminales que anuncian los datos en línea. (Live Nation no comentó cuántos clientes se ven afectados por la violación). Si se demuestra, Ticketmaster sería la mayor violación de datos en Estados Unidos hasta ahora este año y una de las mayores en la historia reciente.
Snowflake es la última empresa en una serie de incidentes de seguridad de alto perfil y importantes brechas de datos causadas por la falta de autenticación de múltiples factores.
El año pasado, los cibercriminales extrajeron alrededor de 6,9 millones de registros de clientes de cuentas de 23andMe que no estaban protegidas sin autenticación de múltiples factores, lo que llevó a la empresa de pruebas genéticas a requerir a los usuarios habilitar la autenticación de múltiples factores por defecto para evitar un ataque repetido.
Y a principios de este año, el gigante de tecnología de la salud Change Healthcare, propiedad de UnitedHealth, admitió que los hackers irrumpieron en sus sistemas y robaron enormes cantidades de datos de salud sensibles de un sistema no protegido con autenticación de múltiples factores. El gigante de la salud aún no ha dicho cuántas personas tuvieron su información comprometida, pero dijo que es probable que afecte a una «proporción sustancial de personas en Estados Unidos.»
¿Conoces más sobre las intrusiones en las cuentas de Snowflake? Ponte en contacto. Para contactar a este reportero, comunícate en Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puedes enviar archivos y documentos a través de SecureDrop.