Los problemas de seguridad de Snowflake después de una reciente oleada de robos de datos de clientes están creciendo como una bola de nieve.
Después de que Ticketmaster fue la primera empresa en vincular su reciente brecha de datos a la empresa de datos en la nube Snowflake, el sitio de comparación de préstamos LendingTree ha confirmado que su subsidiaria QuoteWizard tuvo datos robados de Snowflake.
“Podemos confirmar que utilizamos Snowflake para nuestras operaciones comerciales y que nos notificaron que nuestra subsidiaria, QuoteWizard, podría haber tenido datos afectados por este incidente”, dijo Megan Greuling, portavoz de LendingTree, a TechCrunch.
“Nos tomamos estos asuntos en serio y, inmediatamente después de recibir la notificación [de Snowflake], iniciamos una investigación interna”, dijo la portavoz. “En este momento, parece que no se vio afectada la información de la cuenta financiera del consumidor, ni la información de la entidad matriz, LendingTree”, agregó la portavoz, negándose a hacer más comentarios citando la investigación en curso.
A medida que más clientes afectados se presentan, Snowflake ha dicho poco más allá de una breve declaración en su sitio web reiterando que no hubo una brecha de datos en sus propios sistemas, sino que sus clientes no estaban utilizando la autenticación de múltiples factores, o MFA, una medida de seguridad que Snowflake no hace cumplir ni requiere que sus clientes activen de forma predeterminada. Snowflake mismo se vio afectado por el incidente, ya que una cuenta de “demostración” de un ex empleado fue comprometida debido a que solo estaba protegida con un nombre de usuario y contraseña.
En una declaración el viernes, Snowflake se mantuvo firme en su respuesta hasta ahora, afirmando que su posición “permanece sin cambios”. Citando su declaración anterior del domingo, el director de seguridad de la información de Snowflake, Brad Jones, dijo que esto fue una “campaña dirigida a usuarios con autenticación de un solo factor” y utilizando credenciales robadas de malware que roba información o obtenidas de brechas de datos anteriores.
La falta de MFA parece ser la forma en que los ciberdelincuentes descargaron grandes cantidades de datos de los entornos de clientes de Snowflake, que no estaban protegidos por la capa de seguridad adicional.
El miércoles pasado, TechCrunch encontró en línea cientos de credenciales de clientes de Snowflake robadas por malware que roba contraseñas que infectó las computadoras de empleados que tienen acceso al entorno de su empleador en Snowflake. El número de credenciales sugiere que aún existe un riesgo para los clientes de Snowflake que aún no han cambiado sus contraseñas o activado MFA.
A lo largo de la semana, TechCrunch envió más de una docena de preguntas a Snowflake sobre el incidente en curso que afecta a sus clientes mientras seguimos informando sobre la historia. Snowflake se negó a responder a nuestras preguntas en al menos seis ocasiones.
Estas son algunas de las preguntas que estamos haciendo, y por qué.
Aún no se sabe cuántos clientes de Snowflake están afectados, o si Snowflake lo sabe todavía.
Snowflake dijo que hasta la fecha ha notificado a un “número limitado de clientes de Snowflake” a quienes la empresa cree que podrían haber sido afectados. En su sitio web, Snowflake dice que tiene más de 9,800 clientes, incluidas empresas tecnológicas, empresas de telecomunicaciones y proveedores de atención médica.
La portavoz de Snowflake, Danica Stanczak, se negó a decir si el número de clientes afectados era de decenas, docenas, cientos o más.
Es probable que, a pesar de la cantidad de brechas de clientes reportadas esta semana, apenas estemos comenzando a comprender la escala de este incidente.
Incluso para Snowflake puede no estar claro cuántos de sus clientes están afectados, ya que la empresa tendrá que depender de sus propios datos, como registros, o averiguar directamente de un cliente afectado.
No se sabe cuánto tiempo Snowflake pudo haber sabido sobre las intrusiones en las cuentas de sus clientes. La declaración de Snowflake dijo que se enteró el 23 de mayo de la “actividad amenazante”, el acceso a las cuentas de los clientes y la descarga de sus contenidos, pero posteriormente encontró evidencia de intrusiones que se remontan a un marco de tiempo no más específico que mediados de abril, lo que sugiere que la empresa tiene algunos datos en los que apoyarse.
Pero eso también deja abierta la pregunta de por qué Snowflake no detectó en ese momento la extracción de grandes cantidades de datos de clientes de sus servidores hasta mucho más tarde en mayo, o si lo hizo, por qué Snowflake no alertó públicamente a sus clientes antes.
La firma de respuesta a incidentes Mandiant, a la que Snowflake llamó para ayudar con la divulgación a sus clientes, le dijo a Bleeping Computer a finales de mayo que la firma ya había estado ayudando a las organizaciones afectadas durante “varias semanas”.
Aún no sabemos qué había en la cuenta de demostración del ex empleado de Snowflake, o si es relevante para las brechas de datos de los clientes.
Una línea clave de la declaración de Snowflake dice: “Encontramos evidencia de que un actor amenazante obtuvo credenciales personales y accedió a cuentas de demostración pertenecientes a un ex empleado de Snowflake. No contenía datos sensibles.”
Algunas de las credenciales de clientes robadas vinculadas al malware que roba información incluyen las pertenecientes a un entonces empleado de Snowflake, según una revisión de TechCrunch.
Como mencionamos anteriormente, TechCrunch no está nombrando al empleado ya que no está claro si hizo algo mal. El hecho de que Snowflake haya sido sorprendido por su propia falta de aplicación de MFA permitiendo a los ciberdelincuentes descargar datos de la cuenta de “demostración” de un entonces empleado utilizando solo su nombre de usuario y contraseña destaca un problema fundamental en el modelo de seguridad de Snowflake.
Pero aún no está claro qué papel, si es que hay alguno, tiene esta cuenta de demostración en los robos de datos de los clientes, porque aún no se sabe qué datos se almacenaban en ella, o si contenía datos de otros clientes de Snowflake.
Snowflake se negó a decir qué papel, si es que hay alguno, tiene la cuenta de demostración del entonces empleado de Snowflake en las recientes brechas de clientes. Snowflake reiteró que la cuenta de demostración “no contenía datos sensibles”, pero declinó repetidamente decir cómo define la empresa lo que considera “datos sensibles”.
Preguntamos si Snowflake cree que la información de identificación personal de los individuos es información sensible. Snowflake se negó a comentar.
No está claro por qué Snowflake no ha restablecido las contraseñas de manera proactiva, o requerido y aplicado el uso de MFA en las cuentas de sus clientes.
No es infrecuente que las empresas restablezcan forzosamente las contraseñas de sus clientes después de una brecha de datos. Pero si le preguntas a Snowflake, no ha habido ninguna brecha. Y si bien eso puede ser cierto en el sentido de que no ha habido una aparente compromisión de su infraestructura central, los clientes de Snowflake sí están siendo comprometidos.
El consejo de Snowflake a sus clientes es restablecer y cambiar las credenciales de Snowflake y aplicar MFA en todas las cuentas. Snowflake previamente le dijo a TechCrunch que sus clientes son responsables de su propia seguridad: “Según el modelo de responsabilidad compartida de Snowflake, los clientes son responsables de aplicar MFA con sus usuarios.”
Pero dado que estos robos de datos de clientes de Snowflake están vinculados al uso de nombres de usuario y contraseñas robados de cuentas que no están protegidas con MFA, es inusual que Snowflake no haya intervenido en nombre de sus clientes para proteger sus cuentas con restablecimientos de contraseñas o MFA obligatorio.
No es precedente. El año pasado, ciberdelincuentes extrajeron 6.9 millones de registros de usuarios y genéticos de cuentas de 23andMe que no estaban protegidas con MFA. 23andMe restableció las contraseñas de los usuarios en precaución para evitar más ataques de extracción, y posteriormente requería el uso de MFA en todas las cuentas de sus usuarios.
Preguntamos a Snowflake si la empresa planeaba restablecer las contraseñas de las cuentas de sus clientes para evitar cualquier posible intrusión adicional. Snowflake se negó a comentar.
Snowflake parece estar avanzando hacia la implementación de MFA de forma predeterminada, según el sitio de noticias tecnológicas Runtime, citando al CEO de Snowflake, Sridhar Ramaswamy, en una entrevista esta semana. Esto fue confirmado más tarde por el CISO de Snowflake, Jones, en la actualización del viernes.
“También estamos desarrollando un plan para requerir a nuestros clientes implementar controles de seguridad avanzados, como la autenticación de múltiples factores (MFA) o políticas de red, especialmente para las cuentas privilegiadas de los clientes de Snowflake,” dijo Jones.
No se dio un plazo para el plan.
¿Sabes más sobre las intrusiones en cuentas de Snowflake? Póngase en contacto. Para comunicarse con este reportero, comuníquese a través de Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.