Skip to main content

7 Juin, 2024

Des centaines de mots de passe de clients de Snowflake trouvés en ligne sont liés à un logiciel malveillant de vol d’informations, (avec mise à jour au 11 Juin 2024)

Des centaines de mots de passe de clients de Snowflake trouvés en ligne sont liés à un logiciel malveillant de vol d’informations, (avec mise à jour au 11 Juin 2024)

La société d’analyse de données dans le Cloud Snowflake est au centre d’une récente vague de vols présumés de données, alors que ses entreprises clientes se démènent pour savoir si leurs stocks de données dans le Cloud ont été compromis.

Snowflake aide certaines des plus grandes entreprises mondiales – notamment des banques, des prestataires de soins de santé et des entreprises technologiques – à stocker et à analyser leurs vastes quantités de données, telles que les données clients, dans le nuage.

La semaine dernière, les autorités australiennes ont tiré la sonnette d’alarme en déclarant qu’elles avaient eu connaissance de « compromissions réussies de plusieurs entreprises utilisant des environnements Snowflake », sans nommer ces entreprises. Des pirates ont affirmé sur un forum de cybercriminalité connu qu’ils avaient volé des centaines de millions de dossiers de clients de la banque Santander et de Ticketmaster, deux des plus gros clients de Snowflake.

La banque Santander a confirmé la violation d’une base de données « hébergée par un fournisseur tiers », mais n’a pas voulu nommer le fournisseur en question. Vendredi, Live Nation a confirmé que sa filiale Ticketmaster avait été piratée et que la base de données volée était hébergée chez Snowflake.

Snowflake a reconnu dans une brève déclaration avoir eu connaissance d’un « accès potentiellement non autorisé » à un « nombre limité » de comptes clients, sans préciser lesquels, mais n’a trouvé aucune preuve d’une violation directe de ses systèmes. Snowflake a plutôt parlé d’une « campagne ciblée sur les utilisateurs disposant d’un système d’authentification à facteur unique » et a indiqué que les pirates avaient utilisé « des logiciels malveillants achetés ou obtenus précédemment par le biais d’infostealing », qui sont conçus pour récupérer les mots de passe enregistrés sur l’ordinateur d’un utilisateur.

Malgré les données sensibles que Snowflake détient pour ses clients, la société laisse chaque client gérer la sécurité de son environnement et n’inscrit pas automatiquement ses clients ou ne leur demande pas d’utiliser l’authentification multifactorielle (MFA : Multi-factor Authentification), selon la documentation client de Snowflake. Le fait de ne pas imposer l’utilisation de l’authentification multifactorielle semble être la manière dont les cybercriminels auraient obtenu d’énormes quantités de données de certains clients de Snowflake, dont certains ont mis en place leurs environnements sans cette mesure de sécurité supplémentaire.

Snowflake a admis que l’un de ses propres comptes « de démonstration » a été compromis parce qu’il n’était pas protégé au-delà d’un nom d’utilisateur et d’un mot de passe, mais a affirmé que le compte « ne contenait pas de données sensibles ». On ne sait pas si ce compte de démonstration volé a un rôle à jouer dans les récentes violations.

Cette semaine, des centaines d’informations d’identification de clients de Snowflake ont été vus être disponibles en ligne pour les cybercriminels dans le cadre de campagnes de piratage, ce qui suggère que le risque de compromission des comptes clients de Snowflake pourrait être beaucoup plus important que ce que l’on pensait au départ.

Les informations d’identification ont été volées par un logiciel malveillant qui a infecté les ordinateurs des employés ayant accès à l’environnement Snowflake de leur employeur.

Certains des identifiants semblent appartenir à des employés d’entreprises connues pour être clientes de Snowflake, dont Ticketmaster et Santander, entre autres. Les employés ayant accès à Snowflake comprennent des ingénieurs de base de données et des analystes de données, dont certains font référence à leur expérience de l’utilisation de Snowflake sur leurs pages LinkedIn.

Pour sa part, Snowflake a demandé à ses clients d’activer immédiatement le MFA pour leurs comptes. En attendant, les comptes Snowflake qui n’appliquent pas l’utilisation du MFA pour se connecter exposent leurs données stockées au risque de compromission par des attaques simples telles que le vol et la réutilisation de mots de passe.

Comment ont été vérifiées les données

Une source connaissant les opérations cybercriminelles a indiqué un site Web où les attaquants potentiels peuvent rechercher des listes d’informations d’identification qui ont été volées à partir de diverses sources, telles qu’un logiciel malveillant de vol d’informations sur l’ordinateur d’une personne ou recueillies lors de violations de données antérieures.

Au total, il a été déterminé que plus de 500 identifiants contenant les noms d’utilisateur et les mots de passe des employés, ainsi que les adresses web des pages de connexion pour les environnements Snowflake correspondants.

Les identifiants exposés semblent concerner des environnements Snowflake appartenant à Santander, Ticketmaster, au moins deux géants pharmaceutiques, un service de livraison de nourriture, un fournisseur public d’eau douce, et d’autres encore. Nous avons également vu des noms d’utilisateur et des mots de passe exposés qui appartiendraient à un ancien employé de Snowflake.

Les informations d’identification vues comprennent l’adresse électronique de l’employé (ou son nom d’utilisateur), son mot de passe et l’adresse web unique permettant de se connecter à l’environnement Snowflake de son entreprise. Lorsqu’il a été vérifié les adresses web des environnements Snowflake – souvent composées de lettres et de chiffres aléatoires – il est apparu que les pages de connexion des clients Snowflake sont accessibles au public, même si elles ne peuvent pas faire l’objet d’une recherche en ligne.

Okta, un fournisseur d’authentification unique permet aux utilisateurs de Snowflake de se connecter avec les informations d’identification de leur propre entreprise à l’aide de l’authentification multifonctionnelle. Lors de vérifications, il a été constaté que ces pages de connexion Snowflake redirigeaient vers les pages de connexion Live Nation (pour Ticketmaster) et Santander. Il a également été trouvé un ensemble d’identifiants appartenant à un employé de Snowflake, dont la page de connexion Okta redirige toujours vers une page de connexion interne de Snowflake qui n’existe plus.

L’autre option de connexion de Snowflake permet à l’utilisateur d’utiliser uniquement son nom d’utilisateur et son mot de passe Snowflake, selon que l’entreprise cliente applique ou non le MFA sur le compte, comme le précise la documentation de support de Snowflake. Ce sont ces informations d’identification qui semblent avoir été dérobées par le logiciel malveillant de vol d’informations sur les ordinateurs des employés.

Certains éléments laissent penser que plusieurs employés ayant accès aux environnements Snowflake de leur entreprise ont vu leurs ordinateurs compromis par des logiciels malveillants voleurs d’informations. Selon une vérification du service de notification des brèches Have I Been Pwned, plusieurs des adresses électroniques d’entreprise utilisées comme noms d’utilisateur pour accéder aux environnements Snowflake ont été trouvées dans une récente décharge de données contenant des millions de mots de passe volés, récupérés sur diverses chaînes Telegram utilisées pour le partage de mots de passe volés.

Dans un communiqué, Snowflake a déclaré qu’elle « suspendait certains comptes d’utilisateurs pour lesquels il existe de forts indices d’activités malveillantes ».

Snowflake a ajouté : « Dans le cadre du modèle de responsabilité partagée de Snowflake, les clients sont responsables de la mise en œuvre de l’AMF auprès de leurs utilisateurs. » Le porte-parole a déclaré que Snowflake « envisageait toutes les options pour l’activation du MFA, mais nous n’avons pas encore finalisé de plans à ce stade ».

L’absence d’AMF a entraîné d’énormes brèches

Jusqu’à présent, la réponse de Snowflake laisse de nombreuses questions sans réponse et met à nu un grand nombre d’entreprises qui ne profitent pas des avantages offerts par la sécurité MFA.

Ce qui est clair, c’est que Snowflake porte au moins une part de responsabilité en n’exigeant pas de ses utilisateurs qu’ils activent la fonction de sécurité, et qu’il en subit aujourd’hui les conséquences, de même que ses clients.

La violation de données chez Ticketmaster concernerait plus de 560 millions d’enregistrements de clients, selon les cybercriminels qui annoncent les données en ligne. (Live Nation n’a pas souhaité préciser le nombre de clients concernés par la faille). Si l’affaire est avérée, il s’agirait de la plus importante violation de données aux États-Unis depuis le début de l’année et de l’une des plus importantes de l’histoire récente.

Snowflake est la dernière entreprise d’une série d’incidents de sécurité très médiatisés et de violations de données importantes causées par l’absence de MFA.

L’année dernière, des cybercriminels ont récupéré environ 6,9 millions d’enregistrements de clients sur des comptes 23andMe qui n’étaient pas protégés par l’AFM, ce qui a incité l’entreprise de tests génétiques – et ses concurrents – à demander aux utilisateurs d’activer l’AFM par défaut afin d’éviter une nouvelle attaque.

En début d’année, Change Healthcare, le géant des technologies de la santé appartenant à UnitedHealth, a admis que des pirates s’étaient introduits dans ses systèmes et avaient volé d’énormes quantités de données sensibles sur la santé à partir d’un système qui n’était pas protégé par MFA. Le géant de la santé n’a pas encore indiqué le nombre de personnes dont les informations ont été compromises, mais il a déclaré qu’une « proportion substantielle de la population américaine » était probablement concernée.

https://techcrunch.com/2024/06/05/snowflake-customer-passwords-found-online-infostealing-malware

Mise à jour du 11 Juin 2024

« L’ enquête sur la cybersécurité de Snowflake a connu un développement important. Les experts en cybersécurité CrowdStrike et Mandiant sont d’accord avec les conclusions préliminaires selon lesquelles il n’y a pas eu de violation de notre plateforme, ainsi qu’avec d’autres sujets importants. Si vous souhaitez une déclaration spécifique de notre part, elle serait la suivante : « Nous n’avons pas identifié de preuves suggérant que cette activité a été causée par une vulnérabilité, une mauvaise configuration ou une violation de la plateforme Snowflake ». 

Pour faire le point sur notre enquête en cours concernant une campagne de menaces ciblées contre certains comptes de clients de Snowflake, nos conclusions les plus récentes (voir l’article du 2 juin), appuyées par les cyber-experts CrowdStrike et Mandiant, restent inchangées. 

« Nous continuons à travailler en étroite collaboration avec nos clients pour les aider à renforcer leurs mesures de sécurité afin de réduire les cybermenaces qui pèsent sur leurs activités. Nous élaborons également un plan visant à exiger de nos clients qu’ils mettent en œuvre des contrôles de sécurité avancés, tels que l’authentification multifactorielle (MFA) ou des politiques de réseau, en particulier pour les comptes clients privilégiés de Snowflake. Dans le même temps, nous continuons à nous engager fermement auprès de nos clients pour les aider à activer l’AFM et d’autres contrôles de sécurité en tant qu’étape essentielle de la protection de leur entreprise. »

La dernière déclaration en date de ces conclusions est : « Dans le cadre de notre engagement de transparence concernant notre enquête en cours sur une campagne de menaces ciblées contre certains comptes clients de Snowflake, l’expert en cybersécurité Mandiant a partagé hier ce billet de blog détaillant ses conclusions à ce jour. Comme nous l’avons indiqué le 6 juin, nous continuons à travailler en étroite collaboration avec nos clients pour renforcer leurs mesures de sécurité afin de réduire les cybermenaces qui pèsent sur leurs entreprises, et nous élaborons un plan pour demander à nos clients de mettre en œuvre des contrôles de sécurité avancés, tels que l’authentification multifactorielle (MFA) ou des politiques de réseau. »