Cloudopslagspecialist Snowflake verplicht klanten om multi-factor authentication te gebruiken terwijl het onderzoekt of het zelf de oorzaak is dat verschillende van haar klanten de laatste weken met datalekken zitten. Zelf nuanceert het die rol.
De puzzelstukken bij Snowflake zijn nog niet allemaal gevallen, maar het lijkt erop dat een aantal grote hacks bij verschillende bedrijven allemaal zijn terug te brengen tot hun account bij Snowflake. Het bedrijf bewaart grote datasets van klanten en zit zo op een berg gevoelige gegevens.
Ticketmaster
De bal ging aan het rollen nadat Ticketmaster in mei bekendmaakte dat er mailadressen, telefoonnummers en kredietkaartgegevens van 560 miljoen klanten op straat lagen nadat hackersgroep ShinyHunters bewijzen plaatsten op het dark web. Ook de Spaanse bank Santander werd slachtoffer van een hack met datalek.
Rond dezelfde tijd kwamen securityspecialisten van Hudson Rock met een rapport waarin ze zeer kritisch waren voor Snowflake zelf. Het stelde dat de bron van de hack bij Ticketmaster bij Snowflake zelf, dus niet bij een account van een klant van Snowflake, lag. De gegevens van een werknemer van Snowflake zouden in oktober bemachtigd zijn via malware.
Die gegevens werden vervolgens gebruikt om in te loggen bij de ServiceNow account van die persoon om zo het bestaande access management systeem van Snowflake te omzeilen. Eens binnen konden de hackers van ShinyHunters session tokens genereren om data van klanten te downloaden, daarbij zouden tot 400 klanten getroffen kunnen zijn. Dat laatste cijfer komt uit een gesprek dat Hudson Rock zelf met de hackers had.
Snowflake ontkent, maar…
Snowflake was, op zijn zachtst gezegd, not amused met dat rapport. Het ontkende de feiten met klem. Als er al werd ingebroken bij Snowflake, dan was dat via individuele klantenaccounts wiens logins op andere manieren werden bemachtigd. Het dreigde met juridische acties tegen Hudson Rock en eiste dat die het rapport introk. Intussen erkende het bedrijf wel dat er een gerichte campagne tegen klantenaccounts van Snowflake aan de gang was.
Hoewel Snowflake aanvankelijk sprak van een ‘beperkt aantal’ accounts waar hackers toegang tot kregen, wordt er intussen wel gestolen data aangeboden van andere bedrijven. Volgens de aanbieder, de groep ShinyHunters, was die data afkomstig van accounts bij Snowflake. Later stelde ook Techcrunch vast dat er honderden klantenwachtwoorden online te vinden waren.
Intussen duikt er op een forum waar de data eerder werd aangeboden ook data op van het Amerikaanse onderdelenbedrijf Advance Auto Parts en van kredietverstrekker LendingTree en diens dochter Quotewizzard. Zowel Wired als BleepingComputer melden dat de mailadressen in de voorbeelddata echt zijn.
Multi-factor authentication
Intussen wordt de toon enigszins verlegd. Het bedrijf blijft ontkennen dat het direct werd aangevallen, schrijft The Register. De site weet ook dat het bedrijf intussen MFA (multi factor authentication) heeft opgelegd aan iedere account die dat nog niet had. Eerder werden klanten al wel aangeraden om dat te doen. Het zijn de accounts zonder MFA die tot nu toe werden gehackt.
Snowflake zegt daarbij dat het geen aanwijzingen heeft dat er gegevens van werknemers zijn gecompromitteerd, wat Hudson Rock beweerde, maar het denkt intussen wel dat er inloggegevens van werknemers zijn verkregen via malware of omdat ze verder doorverkocht. Ook erkent het dat iemand inloggegevens van een voormalig werkgever kon bemachtigen, maar die gaven enkel toegang tot demo accounts.
Hoe de vork precies in de steel zit is op dit moment nog niet helemaal duidelijk, maar het lijkt sinds vorige week ook bij Snowflake zelf te dagen dat de oorzaak van het probleem eerder intern te zoeken is. Wie klant is van het bedrijf kan wel zichzelf zo goed mogelijk beschermen door alle accounts te voorzien van een extra inlogprocedure.
Fout opgemerkt of meer nieuws? Meld het hier