Ko „Snowflake“ nesako apie savo klientų duomenų pažeidimus
„Snowflake“ saugumo problemos po pastarojo meto klientų duomenų vagysčių, jei trūksta geresnio žodžio, yra sniego gniūžtės.
Po to, kai „Ticketmaster“ buvo pirmoji įmonė, susiejusi savo naujausią duomenų pažeidimą su debesų duomenų bendrove „Snowflake“, paskolų palyginimo svetainė „LendingTree“ dabar patvirtino, kad jos „QuoteWizard“ dukterinė įmonė iš „Snowflake“ pavogė duomenis.
„Galime patvirtinti, kad naudojame „Snowflake“ savo verslo operacijoms ir kad jie mums pranešė, kad mūsų dukterinė įmonė „QuoteWizard“ galėjo turėti įtakos šio incidento duomenims“, – „TechCrunch“ sakė „LendingTree“ atstovė Megan Greuling.
„Į šiuos dalykus žiūrime rimtai ir iškart po to, kai išgirs [Snowflake] pradėjo vidinį tyrimą“, – sakė atstovas. „Šiuo metu neatrodo, kad būtų paveikta nei vartotojų finansinės sąskaitos informacija, nei pagrindinės įmonės „LendingTree“ informacija“, – pridūrė atstovas ir atsisakė plačiau komentuoti, remdamasis vykdomu tyrimu.
Atsiradus labiau paveiktiems klientams, „Snowflake“ nepasakė tik trumpo pareiškimo savo svetainėje, pakartodama, kad jos pačios sistemos duomenų pažeidimo nebuvo, o klientai nenaudojo kelių veiksnių autentifikavimo arba MFA – saugumo priemonės, Pagal numatytuosius nustatymus „Snowflake“ neįgyvendina ir nereikalauja, kad jos klientai įgalintų. Pats „Snowflake“ buvo užkluptas incidento, sakydamas, kad buvusio darbuotojo „demo“ paskyra buvo pažeista, nes buvo apsaugota tik vartotojo vardu ir slaptažodžiu.
Penktadienio pareiškime Snowflake tvirtai laikėsi savo atsako iki šiol ir teigė, kad jos pozicija „lieka nepakitusi“. Cituodamas savo ankstesnį pareiškimą sekmadienį, Snowflake vyriausiasis informacijos saugumo pareigūnas Bradas Jonesas sakė, kad tai buvo „tikslinė kampanija, skirta naudotojams, turintiems vieno veiksnio autentifikavimą“ ir naudojanti kredencialus, pavogtus iš informaciją vagiančios kenkėjiškos programos arba gautus iš ankstesnių duomenų pažeidimų.
Atrodo, kad MFA trūkumas yra tai, kaip kibernetiniai nusikaltėliai atsisiuntė didžiulius duomenų kiekius iš „Snowflake“ klientų aplinkos, kurios nebuvo apsaugotos papildomu saugos sluoksniu.
Anksčiau šią savaitę „TechCrunch“ internete aptiko šimtus „Snowflake“ klientų kredencialų, pavogtų slaptažodžiu vogtų kenkėjiškų programų, kurios užkrėtė darbuotojų, turinčių prieigą prie darbdavio „Snowflake“ aplinkos, kompiuterius. Kredencialų skaičius rodo, kad išlieka rizika „Snowflake“ klientams, kurie dar turi pakeisti savo slaptažodžius arba įjungti MFA.
Visą savaitę „TechCrunch“ išsiuntė daugiau nei tuziną klausimų „Snowflake“ apie vykstantį incidentą, turintį įtakos jos klientams, nes mes ir toliau pranešame apie istoriją. Snaigė atsisakė atsakyti į mūsų klausimus mažiausiai šešis kartus.
Štai keletas klausimų, kuriuos užduodame ir kodėl.
Dar nežinoma, kiek „Snowflake“ klientų nukentėjo, arba ar „Snowflake“ dar žino.
„Snowflake“ teigė, kad iki šiol pranešė „ribotam skaičiui Snowflake klientų“, kurie, bendrovės nuomone, galėjo būti paveikti. Savo svetainėje Snowflake teigia, kad turi daugiau nei 9800 klientų, įskaitant technologijų įmones, telekomunikacijų bendroves ir sveikatos priežiūros paslaugų teikėjus.
„Snowflake“ atstovė Danica Stanczak atsisakė pasakyti, ar nukentėjusių klientų skaičius siekia dešimtis, dešimtis, šimtus ar daugiau.
Tikėtina, kad nepaisant kelių klientų pažeidimų, apie kuriuos pranešta šią savaitę, mes tik pirmosiomis dienomis suprantame šio incidento mastą.
Net „Snowflake“ gali būti neaišku, kiek jos klientų dar paveikta, nes įmonė turės pasikliauti savo duomenimis, pvz., žurnalais, arba sužinoti tiesiogiai iš paveikto kliento.
Nežinia, kiek greitai „Snowflake“ galėjo sužinoti apie įsibrovimus į savo klientų sąskaitas. „Snowflake“ pranešime teigiama, kad apie „grėsmingą veiklą“ – prieigą prie klientų paskyrų ir jų turinio atsisiuntimą – sužinojo gegužės 23 d., tačiau vėliau rado įrodymų, kad įsibrovimai prasidėjo ne konkretesniu laikotarpiu nei balandžio viduryje, o tai rodo, kad bendrovė. turi tam tikrų duomenų, kuriais galima pasikliauti.
Tačiau tai taip pat palieka atvirą klausimą, kodėl „Snowflake“ neaptiko tuo metu, kai iš savo serverių buvo išfiltruotas didelis klientų duomenų kiekis, iki daug vėliau gegužės mėn., arba, jei taip, kodėl „Snowflake“ viešai neįspėjo savo klientų anksčiau.
Reagavimo į incidentus įmonė „Mandiant“, kurią „Snowflake“ pasikvietė padėti savo klientams, gegužės pabaigoje „Bleeping Computer“ sakė, kad įmonė jau „kelias savaites“ padėjo nukentėjusioms organizacijoms.
Vis dar nežinome, kas buvo buvusio „Snowflake“ darbuotojo demonstracinėje paskyroje, ar tai susiję su klientų duomenų pažeidimais.
Pagrindinė „Snowflake“ pareiškimo eilutė sako: „Mes radome įrodymų, kad grėsmės veikėjas gavo asmeninius įgaliojimus ir pasiekė demonstracines paskyras, priklausančias buvusiam Snowflake darbuotojui. Jame nebuvo jautrių duomenų.
Remiantis „TechCrunch“ apžvalga, kai kurie pavogti klientų kredencialai, susiję su informacijos vagystėmis, yra tie, kurie priklausė tuometiniam „Snowflake“ darbuotojui.
Kaip jau minėjome, „TechCrunch“ neįvardija darbuotojo, nes nėra aišku, ar jis padarė ką nors ne taip. Faktas, kad „Snowflake“ buvo pastebėtas dėl savo MFA vykdymo nebuvimo, leidžiančio kibernetiniams nusikaltėliams atsisiųsti duomenis iš tuometinio darbuotojo „demo“ paskyros naudojant tik jų vartotojo vardą ir slaptažodį, išryškina esminę „Snowflake“ saugos modelio problemą.
Tačiau lieka neaišku, koks šios demonstracinės paskyros vaidmuo (jei toks yra) klientų duomenų vagystėms, nes dar nežinoma, kokie duomenys buvo saugomi arba ar joje buvo duomenų iš kitų „Snowflake“ klientų.
„Snowflake“ atsisakė pasakyti, kokį vaidmenį (jei toks yra) tuometinio „Snowflake“ darbuotojo demonstracinė sąskaita turi dėl pastarųjų klientų pažeidimų. Snowflake pakartojo, kad demonstracinėje paskyroje „nebuvo jautrių duomenų“, tačiau ne kartą atsisakė pasakyti, kaip bendrovė apibrėžia, ką ji laiko „jautriais duomenimis“.
Paklausėme, ar „Snowflake“ mano, kad asmenį identifikuojanti informacija yra neskelbtini duomenys. Snaigė atsisakė komentuoti.
Neaišku, kodėl „Snowflake“ aktyviai nenustatė slaptažodžių arba nereikalavo ir neįgyvendino MFA savo klientų paskyrose.
Neįprasta, kad įmonės priverstinai iš naujo nustato savo klientų slaptažodžius po duomenų pažeidimo. Bet jei paklausite Snaigės, pažeidimo nebuvo. Ir nors tai gali būti tiesa ta prasme, kad nebuvo akivaizdžių kompromisų dėl centrinės infrastruktūros, Snowflake klientai yra labai pažeidžiami.
„Snowflake“ patarimas savo klientams – iš naujo nustatyti ir pasukti „Snowflake“ kredencialus ir užtikrinti MFA visose paskyrose. „Snowflake“ anksčiau „TechCrunch“ sakė, kad jos klientai rūpinasi savo pačių saugumu: „Pagal Snowflake bendros atsakomybės modelį klientai yra atsakingi už MFA su savo vartotojais įgyvendinimą“.
Tačiau kadangi šios „Snowflake“ klientų duomenų vagystės yra susijusios su pavogtų paskyrų, kurios neapsaugotos MFA, naudotojų vardų ir slaptažodžių naudojimu, neįprasta, kad „Snowflake“ nesikišo savo klientų vardu, kad apsaugotų jų paskyras iš naujo nustatydama slaptažodį arba taikydama priverstinę MFA.
Tai nėra beprecedentė. Praėjusiais metais kibernetiniai nusikaltėliai iš „23andMe“ paskyrų nubraukė 6,9 mln. naudotojų ir genetinių įrašų, kurie nebuvo apsaugoti MFA. „23andMe“ iš naujo nustatė naudotojų slaptažodžius atsargiai, kad būtų išvengta tolesnių nuskaitymo atakų, todėl visose naudotojų paskyrose reikėjo naudoti MFA.
Pasiteiravome „Snowflake“, ar bendrovė planuoja iš naujo nustatyti savo klientų paskyrų slaptažodžius, kad būtų išvengta galimų tolesnių įsilaužimų. Snaigė atsisakė komentuoti.
Kaip rašo technologijų naujienų svetainė „Runtime“, šią savaitę interviu cituodama „Snowflake“ generalinį direktorių Sridharą Ramaswamy, „Snowflake“ pagal numatytuosius nustatymus siekia įdiegti MFA. Vėliau tai patvirtino „Snowflake“ CISO Jonesas penktadienio atnaujinime.
„Mes taip pat kuriame planą, pagal kurį mūsų klientai turėtų įdiegti pažangias saugos priemones, pvz., kelių veiksnių autentifikavimą (MFA) arba tinklo politiką, ypač privilegijuotoms „Snowflake“ klientų paskyroms“, – sakė Jonesas.
Plano įgyvendinimo terminas nebuvo nurodytas.
Ar žinote daugiau apie „Snowflake“ paskyros įsibrovimus? Susisiekti. Norėdami susisiekti su šiuo reporteriu, susisiekite su Signal ir WhatsApp telefonu +1 646-755-8849 arba el. paštu. Taip pat galite siųsti failus ir dokumentus naudodami „SecureDrop“.