Mathieu
Vol de données massif chez les clients de stockage cloud Snowflake
Des chercheurs en sécurité signalent qu’un "volume significatif de données" a été volé à des centaines de clients de stockage cloud Snowflake via des identifiants de connexion compromis, l’incident étant lié à des violations massives de données chez Ticketmaster et Santander Bank.
Mandiant et Snowflake enquêtent sur le vol de données
Mandiant, une société de sécurité enquêtant sur le vol de données aux côtés de Snowflake, a annoncé lundi qu’elle avait suivi l’activité jusqu’à un "acteur de menace motivé financièrement" identifié comme UNC5537. Les deux sociétés ont informé au moins 165 organisations clientes de Snowflake qui auraient pu être compromises depuis la découverte de l’activité menaçante en cours en avril, Mandiant affirmant que son enquête n’a trouvé "aucune preuve suggérant" que l’environnement d’entreprise de Snowflake avait été compromis.
Liens entre les récentes violations de données et Snowflake
Les récentes violations de données chez Ticketmaster, Santander Bank et la filiale de LendingTree, QuoteWizard, ont été liées aux comptes de stockage cloud Snowflake utilisés par les entreprises. Les détails officiels sur la manière dont les comptes ont été compromis étaient minces jusqu’à présent, avec un rapport antérieur tiers mis hors ligne après que Snowflake ait publié une déclaration affirmant que la plateforme elle-même n’était pas en cause.
Méthodes du groupe UNC5537
Suite à son enquête, Mandiant indique que le groupe UNC5537, non encore identifié, compromet "de manière systématique" les clients de Snowflake en utilisant des identifiants de connexion volés via des infections malveillantes d’historiques de logiciels malveillants sur des systèmes non détenus par Snowflake. Certains de ces identifiants remontent à 2020 et ont permis à UNC5537 de voler des données des instances des clients de Snowflake dans le but de les vendre sur des forums de cybercriminels et d’extorquer les victimes.
Pratiques de sécurité insuffisantes et prévisions
Mandiant affirme que la campagne UNC5537 a abouti à "de nombreuses compromises réussies" en raison de pratiques de sécurité insuffisantes sur les comptes impactés, qui n’ont pas mis à jour les identifiants de connexion volés ou utilisé l’authentification multi-facteurs (MFA) ou les listes d’adresses réseau autorisées. La liste des victimes, bien que largement non identifiée, devrait également s’allonger, selon Mandiant, ayant évalué qu’UNC5337 ciblera probablement d’autres plateformes "dans un avenir proche".
