Περίληψη Άρθρου:

Οι χάκερ στόχευσαν την υπηρεσία cloud του Snowflake, κλέβοντας δεδομένα από εταιρείες όπως το Ticketmaster και το Santander. Οι χάκερ απέκτησαν πρόσβαση σε λογαριασμούς μέσω μιας εταιρείας με έδρα τη Λευκορωσία, ενδεχομένως επηρεάζοντας 165 πελάτες. Το Snowflake ισχυρίστηκε ότι οι χάκερ δεν παραβίασαν το δίκτυό τους απευθείας. Οι ερευνητές διαπίστωσαν ότι οι χάκερς απέκτησαν πρόσβαση μέσω τρίτων όπως η EPAM Systems, μια εταιρεία λογισμικού. Οι χάκερ χρησιμοποίησαν κλεμμένα στοιχεία πρόσβασης για να απειλήσουν τους ιδιοκτήτες δεδομένων ζητώντας τεράστια ποσά για την μη δημοσίευση των στοιχείων τους. Η EPAM αρνείται τη συμμετοχή στις παραβιάσεις. Οι χάκερ εκμεταλλεύτηκαν αδυναμίες όπως η έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων για πρόσβαση σε λογαριασμούς. Κλεμμένα στοιχεία πρόσβασης ελήφθησαν από προηγούμενες παραβιάσεις και πωλήθηκαν στο διαδίκτυο. Αυτό υπογραμμίζει τη σημασία των ισχυρών μέτρων στον κυβερνοχώρο για την προστασία ευαίσθητων δεδομένων από τέτοιες επιθέσεις. Η ασφάλεια των δεδομένων άλλων πελατών της EPAM προκαλεί ανησυχία, επισημαίνοντας τους κινδύνους ασφαλείας.

 

Κύρια σημεία του άρθρου:

• Οι χάκερ απέκτησαν πρόσβαση σε λογαριασμούς μέσω μιας εταιρείας στη Λευκορωσία, ενδεχομένως επηρεάζοντας 165 πελάτες
• Το Snowflake ισχυρίστηκε ότι οι χάκερ δεν παραβίασαν άμεσα το δίκτυό τους
• Οι ερευνητές διαπίστωσαν ότι οι χάκερ έχουν πρόσβαση σε λογαριασμούς μέσω τρίτων όπως η EPAM Systems
• Οι χάκερ χρησιμοποίησαν κλεμμένες πληροφορίες πρόσβασης για να για να απειλήσουν τους ιδιοκτήτες δεδομένων ζητώντας τεράστια ποσά για την μη δημοσίευση των στοιχείων τους
• Η EPAM αρνείται τη συμμετοχή σε παραβιάσεις
• Οι χάκερ εκμεταλλεύτηκαν αδυναμίες όπως η έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων

 

Αναλυτικά το άρθρο:

Ένας χάκερ της ShinyHunters λέει στο WIRED ότι απέκτησε πρόσβαση στον λογαριασμό Snowflake της Ticketmaster -και σε άλλους- παραβιάζοντας πρώτα έναν τρίτο φορέα.

Οι χάκερς που έκλεψαν terabytes δεδομένων από την Ticketmaster και άλλους πελάτες της εταιρείας αποθήκευσης cloud Snowflake ισχυρίζονται ότι απέκτησαν πρόσβαση σε ορισμένους από τους λογαριασμούς της Snowflake παραβιάζοντας πρώτα έναν φορέα που ιδρύθηκε στη Λευκορωσία και συνεργάζεται με τους εν λόγω πελάτες.

Περίπου 165 λογαριασμοί πελατών επηρεάστηκαν δυνητικά στην πρόσφατη εκστρατεία hacking με στόχο τους πελάτες της Snowflake, αλλά μόνο μερικοί από αυτούς έχουν εντοπιστεί μέχρι στιγμής. Εκτός από την Ticketmaster, η τραπεζική εταιρεία Santander αναγνώρισε επίσης ότι τα δεδομένα της εκλάπησαν, αλλά αρνήθηκε να προσδιορίσει τον λογαριασμό από τον οποίο εκλάπησαν. Το Wired, ωστόσο, επιβεβαίωσε ανεξάρτητα ότι επρόκειτο για λογαριασμό της Snowflake- τα κλεμμένα δεδομένα περιλάμβαναν στοιχεία τραπεζικών λογαριασμών για 30 εκατομμύρια πελάτες, συμπεριλαμβανομένων 6 εκατομμυρίων αριθμών λογαριασμών και υπολοίπων, 28 εκατομμυρίων αριθμών πιστωτικών καρτών, καθώς και πληροφορίες ανθρώπινου δυναμικού για το προσωπικό, σύμφωνα με μια ανάρτηση που δημοσίευσαν οι χάκερ. Η Lending Tree και η Advance Auto Parts δήλωσαν επίσης ότι ενδέχεται να είναι επίσης θύματα.

Η Snowflake δεν αποκάλυψε λεπτομέρειες σχετικά με το πώς οι χάκερς απέκτησαν πρόσβαση στους λογαριασμούς, λέγοντας μόνο ότι οι εισβολείς δεν παραβίασαν άμεσα το δίκτυο της Snowflake. Αυτή την εβδομάδα, η εταιρεία ασφαλείας Mandiant, που ανήκει στην Google, μία από τις εταιρείες που προσέλαβε η Snowflake για να διερευνήσει τις παραβιάσεις, αποκάλυψε σε μια ανάρτηση στο blog της ότι σε ορισμένες περιπτώσεις οι χάκερς απέκτησαν πρώτα πρόσβαση μέσω τρίτων εργολάβων, χωρίς να προσδιορίσει τους εργολάβους ή να αναφέρει πώς η πρόσβαση αυτή βοήθησε τους χάκερς να παραβιάσουν τους λογαριασμούς της Snowflake.

Σύμφωνα όμως με έναν από τους χάκερ που μίλησε στο WIRED μέσω γραπτής συνομιλίας, μία από αυτές τις εταιρείες ήταν η EPAM Systems, μια εισηγμένη στο χρηματιστήριο εταιρεία μηχανικής λογισμικού και ψηφιακών υπηρεσιών, που ιδρύθηκε από τον γεννημένο στη Λευκορωσία Arkadiy Dobkin, με τρέχοντα έσοδα περίπου 4,8 δισεκατομμυρίων δολαρίων. Ο χάκερ λέει ότι η ομάδα του, η οποία αυτοαποκαλείται ShinyHunters, χρησιμοποίησε δεδομένα που βρέθηκαν σε ένα σύστημα υπαλλήλων της EPAM για να αποκτήσει πρόσβαση σε ορισμένους από τους λογαριασμούς Snowflake.

Η EPAM δήλωσε στο WIRED ότι δεν πιστεύει ότι έπαιξε ρόλο στις παραβιάσεις και υπέδειξε ότι ο χάκερ είχε κατασκευάσει την ιστορία. Η ομάδα ShinyHunters υπάρχει από το 2020 και από τότε ευθύνεται για πολυάριθμες παραβιάσεις που αφορούν την κλοπή μεγάλων όγκων δεδομένων και τη διαρροή ή την πώλησή τους στο διαδίκτυο.

Η Snowflake είναι μια μεγάλη εταιρεία αποθήκευσης και ανάλυσης δεδομένων που παρέχει εργαλεία στις εταιρείες για την άντληση πληροφοριών και διορατικότητας από τα δεδομένα των πελατών. Η EPAM αναπτύσσει λογισμικό και παρέχει διάφορες υπηρεσίες διαχείρισης για πελάτες σε όλο τον κόσμο, κυρίως στη Βόρεια Αμερική, την Ευρώπη, την Ασία και την Αυστραλία, σύμφωνα με τον ιστότοπό της, με περίπου το 60% των εσόδων της να προέρχεται από πελάτες στη Βόρεια Αμερική. Μεταξύ των υπηρεσιών που παρέχει η EPAM στους πελάτες της είναι η βοήθεια στη χρήση και τη διαχείριση των λογαριασμών Snowflake για την αποθήκευση και την ανάλυση των δεδομένων τους. Η EPAM ισχυρίζεται ότι διαθέτει περίπου 300 εργαζομένους με εμπειρία στη χρήση των εργαλείων και των υπηρεσιών ανάλυσης δεδομένων της Snowflake και ανακοίνωσε το 2022 ότι απέκτησε το καθεστώς "Elite Tier Partner" με τη Snowflake για να αξιοποιεί την πλατφόρμα ανάλυσης της τελευταίας για τους πελάτες της.

Ο ιδρυτής της EPAM μετανάστευσε από τη Λευκορωσία στις ΗΠΑ τη δεκαετία του '90, προτού ιδρύσει την εταιρεία του το 1993 από το διαμέρισμά του στο Νιου Τζέρσεϊ. Σχεδόν τα δύο τρίτα των 55.000 εργαζομένων της EPAM διέμεναν στην Ουκρανία, τη Λευκορωσία και τη Ρωσία μέχρι την εισβολή της Ρωσίας στην Ουκρανία, οπότε η εταιρεία λέει ότι έκλεισε τις δραστηριότητές της στη Ρωσία και μετέφερε ορισμένους από τους Ουκρανούς εργαζομένους της σε τοποθεσίες εκτός της χώρας αυτής.

Ο χάκερ που μίλησε στο WIRED λέει ότι ένας υπολογιστής που ανήκε σε έναν από τους υπαλλήλους της EPAM στην Ουκρανία μολύνθηκε με κακόβουλο λογισμικό κλοπής πληροφοριών μέσω μιας επίθεσης spear-phishing. Δεν είναι σαφές αν κάποιος από τους ShinyHunters διεξήγαγε αυτή την αρχική παραβίαση ή απλώς αγόρασε πρόσβαση στο μολυσμένο σύστημα από κάποιον άλλον που χάκαρε τον εργαζόμενο και εγκατέστησε το infostealer. Ο χάκερ λέει ότι μόλις μπήκε στο σύστημα του εργαζόμενου της EPAM, εγκατέστησε ένα Trojan απομακρυσμένης πρόσβασης, δίνοντάς του πλήρη πρόσβαση σε όλα όσα υπάρχουν στον υπολογιστή του εργαζόμενου.

Χρησιμοποιώντας αυτή την πρόσβαση, λένε, βρήκαν μη κρυπτογραφημένα ονόματα χρηστών και κωδικούς πρόσβασης που ο εργαζόμενος χρησιμοποιούσε για να έχει πρόσβαση και να διαχειρίζεται τους λογαριασμούς Snowflake των πελατών της EPAM, συμπεριλαμβανομένου ενός λογαριασμού για την Ticketmaster. Ο χάκερ λέει ότι τα διαπιστευτήρια ήταν αποθηκευμένα στον υπολογιστή του εργαζόμενου σε ένα εργαλείο διαχείρισης έργων που ονομάζεται Jira. Οι χάκερ ήταν σε θέση να χρησιμοποιήσουν αυτά τα διαπιστευτήρια, λένε, για να αποκτήσουν πρόσβαση στους λογαριασμούς Snowflake επειδή οι λογαριασμοί Snowflake δεν απαιτούσαν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για την πρόσβασή τους. (Η MFA απαιτεί από τους χρήστες να πληκτρολογούν έναν προσωρινό κωδικό μιας χρήσης εκτός από το όνομα χρήστη και τον κωδικό πρόσβασης, καθιστώντας τους λογαριασμούς που χρησιμοποιούν MFA πιο ασφαλείς).

Παρόλο που η EPAM αρνείται ότι εμπλέκεται στην παραβίαση, οι χάκερς έκλεψαν δεδομένα από λογαριασμούς Snowflake, συμπεριλαμβανομένου του λογαριασμού της Ticketmaster, και έχουν εκβιάσει τους ιδιοκτήτες των δεδομένων απαιτώντας εκατοντάδες χιλιάδες, και σε ορισμένες περιπτώσεις περισσότερα από ένα εκατομμύριο δολάρια, για να καταστρέψουν τα δεδομένα.

Ο χάκερ που μίλησε στο WIRED δεν προσδιόρισε όλα τα θύματα που παραβιάστηκαν μέσω του EPAM, αλλά ανέφερε ότι η Ticketmaster ήταν ένα από αυτά. Η Ticketmaster δεν απάντησε σε αίτημα σχολιασμού από το WIRED. Αλλά η μητρική εταιρεία της Ticketmaster, η Live Nation, έχει αναγνωρίσει ότι δεδομένα εκλάπησαν από τον λογαριασμό της Snowflake τον Μάιο, χωρίς να αποκαλύψει πόσα δεδομένα εκλάπησαν ή πώς οι χάκερς απέκτησαν πρόσβαση στον λογαριασμό Snowflake. Σε μια ανάρτηση που προσέφερε τα δεδομένα προς πώληση, ωστόσο, οι χάκερ ανέφεραν ότι είχαν πάρει δεδομένα για 560 εκατομμύρια καταναλωτές της Ticketmaster.

Οι χάκερ ισχυρίζονται ότι σε ορισμένες περιπτώσεις μπόρεσαν να αποκτήσουν απευθείας πρόσβαση στον λογαριασμό Snowflake των πελατών της EPAM χρησιμοποιώντας τα ονόματα χρήστη και τους κωδικούς πρόσβασης σε απλό κείμενο που βρήκαν στον υπολογιστή του εργαζομένου της EPAM. Αλλά στις περιπτώσεις όπου τα διαπιστευτήρια Snowflake δεν ήταν αποθηκευμένα στο σύστημα του εργαζομένου, ο χάκερ ισχυρίζεται ότι αναζήτησε αποθέματα παλαιών διαπιστευτηρίων που είχαν κλαπεί σε προηγούμενες παραβιάσεις από χάκερ που χρησιμοποιούσαν κακόβουλο λογισμικό infostealer και βρήκε επιπλέον ονόματα χρηστών και κωδικούς πρόσβασης για λογαριασμούς Snowflake, συμπεριλαμβανομένων αυτών που συλλέχθηκαν από το μηχάνημα του ίδιου εργαζομένου της EPAM στην Ουκρανία.

Τα διαπιστευτήρια που συλλέγονται από infostealers συχνά δημοσιεύονται στο διαδίκτυο ή διατίθενται προς πώληση σε φόρουμ χάκερ. Εάν τα θύματα δεν αλλάξουν τα στοιχεία σύνδεσής τους μετά από μια παραβίαση ή δεν γνωρίζουν ότι τα δεδομένα τους έχουν κλαπεί, τα εν λόγω στοιχεία μπορούν να παραμείνουν ενεργά και διαθέσιμα για χρόνια. Είναι ιδιαίτερα προβληματικό αν τα εν λόγω στοιχεία πρόσβασης χρησιμοποιούνται σε πολλαπλούς λογαριασμούς- οι χάκερ μπορούν να αναγνωρίσουν τον χρήστη μέσω της διεύθυνσης ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί ως στοιχείο πρόσβασης, και αν το άτομο αυτό επαναχρησιμοποιεί τον ίδιο κωδικό πρόσβασης, οι χάκερ μπορούν απλώς να δοκιμάσουν αυτά τα στοιχεία πρόσβασης σε πολλαπλά μέρη.

Οι χάκερς σε αυτή την περίπτωση λένε ότι μπόρεσαν να χρησιμοποιήσουν στοιχεία πρόσβασης που είχαν κλαπεί από έναν infostealer το 2020 για να αποκτήσουν πρόσβαση σε λογαριασμούς Snowflake.

Το WIRED δεν μπόρεσε να επιβεβαιώσει ανεξάρτητα ότι οι χάκερς βρίσκονταν μέσα στο μηχάνημα του εργαζόμενου EPAM ή ότι χρησιμοποίησαν το EPAM για να αποκτήσουν πρόσβαση στα δεδομένα της Ticketmaster και σε άλλους λογαριασμούς Snowflake, αλλά ο χάκερ παρείχε στο WIRED ένα αρχείο που φαίνεται να είναι μια λίστα με τα credentials του εργαζόμενου EPAM που αφαιρέθηκαν από τη βάση δεδομένων Active Directory της εταιρείας αφού απέκτησαν πρόσβαση στον υπολογιστή του εργαζόμενου.

Επιπλέον, στην ανάρτηση στο ιστολόγιο που έγραψε η Mandiant, η οποία δημοσιεύθηκε αφού ο χάκερ είπε στο WIRED για τη χρήση δεδομένων που συνέλεξε η ομάδα του από infostealers, η εταιρεία ασφαλείας αποκάλυψε ότι οι χάκερ που παραβίασαν τους λογαριασμούς Snowflake χρησιμοποίησαν παλιά δεδομένα που είχαν αποσπάσει οι infostealers για να αποκτήσουν πρόσβαση σε ορισμένους από τους λογαριασμούς. Η Mandiant δήλωσε ότι περίπου το 80 τοις εκατό των θυμάτων που εντόπισε στην εκστρατεία Snowflake παραβιάστηκαν χρησιμοποιώντας διαπιστευτήρια που είχαν προηγουμένως κλαπεί και εκτεθεί από infostealers.

Και ένας ανεξάρτητος ερευνητής ασφαλείας που βοήθησε στη διαπραγμάτευση των συναλλαγών για τα λύτρα μεταξύ των χάκερς ShinyHunter και των θυμάτων της εκστρατείας Snowflake υπέδειξε στο WIRED ένα διαδικτυακό αποθετήριο δεδομένων που συλλέχθηκαν από έναν infostealer και το οποίο περιλαμβάνει δεδομένα που αποσπάστηκαν από τον υπολογιστή του εργαζόμενου της EPAM στην Ουκρανία, τα οποία, σύμφωνα με τον χάκερ, χρησιμοποιήθηκαν για να αποκτήσουν πρόσβαση στους λογαριασμούς Snowflake. Αυτά τα κλεμμένα δεδομένα περιλαμβάνουν το ιστορικό του προγράμματος περιήγησης του εργαζομένου, το οποίο αποκαλύπτει το πλήρες όνομα του εργαζομένου. Περιλαμβάνουν επίσης μια εσωτερική διεύθυνση URL του EPAM που παραπέμπει στον λογαριασμό Snowflake της Ticketmaster, καθώς και μια έκδοση απλού κειμένου του ονόματος χρήστη και του κωδικού πρόσβασης που χρησιμοποίησε ο εργαζόμενος στο EPAM για να αποκτήσει πρόσβαση στον λογαριασμό Snowflake της Ticketmaster.

"Αυτό σημαίνει ότι [ένας εργαζόμενος EPAM] που είχε πρόσβαση σε αυτόν τον [λογαριασμό] Snowflake είχε κακόβουλο λογισμικό κλοπής κωδικού πρόσβασης στον υπολογιστή του, και ο κωδικός πρόσβασής του κλάπηκε και πωλήθηκε στο dark web", λέει ο ερευνητής, ο οποίος ζήτησε να κατονομαστεί μόνο ως Reddington, μια ταυτότητα που χρησιμοποιεί στο διαδίκτυο για να επικοινωνεί με τους εγκληματίες του κυβερνοχώρου. "Αυτό σημαίνει ότι οποιοσδήποτε γνώριζε τη σωστή διεύθυνση URL για το Snowflake της [Ticketmaster] θα μπορούσε απλώς να αναζητήσει τον κωδικό πρόσβασης, να συνδεθεί και να κλέψει τα δεδομένα".

Ένας εκπρόσωπος της EPAM δεν φάνηκε να γνωρίζει, όταν επικοινώνησε με το WIRED στις αρχές της εβδομάδας, ότι η εταιρεία του φέρεται να έπαιξε ρόλο στις παραβιάσεις των λογαριασμών Snowflake. "Δεν σχολιάζουμε καταστάσεις στις οποίες δεν συμμετέχουμε", έγραψε σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, υποδηλώνοντας ότι η εταιρεία δεν πιστεύει ότι έπαιξε κάποιο ρόλο στην εκστρατεία. Όταν το WIRED παρείχε στην εκπρόσωπο λεπτομέρειες σχετικά με τοΌταν το WIRED έδωσε στην εκπρόσωπο λεπτομέρειες σχετικά με το πώς οι χάκερς λένε ότι απέκτησαν πρόσβαση στο σύστημα ενός εργαζόμενου του EPAM στην Ουκρανία, εκείνη απάντησε: "Οι χάκερς συχνά διαδίδουν ψευδείς πληροφορίες για να προωθήσουν τα σχέδιά τους. Διατηρούμε μια πολιτική που δεν ασχολείται με την παραπληροφόρηση και τηρούμε σταθερά ισχυρά μέτρα ασφαλείας για την προστασία των δραστηριοτήτων και των πελατών μας. Συνεχίζουμε την εξαντλητική έρευνά μας και, προς το παρόν, δεν βλέπουμε κανένα στοιχείο που να υποδηλώνει ότι έχουμε επηρεαστεί ή εμπλακεί σε αυτό το θέμα".

Το WIRED ακολούθησε παρέχοντας το όνομα του Ουκρανού εργαζόμενου, του οποίου το μηχάνημα φέρεται να παραβίασαν οι χάκερς, καθώς και το όνομα χρήστη και τον κωδικό πρόσβασης που χρησιμοποίησε ο εργαζόμενος για την πρόσβαση στον λογαριασμό Snowflake της Ticketmaster, αλλά ο εκπρόσωπος δεν απάντησε σε πρόσθετες ερωτήσεις.

Είναι πιθανό οι χάκερς της ShinyHunter να μην παραβίασαν απευθείας τον εργαζόμενο του EPAM και απλώς να απέκτησαν πρόσβαση στους λογαριασμούς Snowflake χρησιμοποιώντας ονόματα χρηστών και κωδικούς πρόσβασης που απέκτησαν από παλιά αποθετήρια στοιχείων πρόσβασης που είχαν κλαπεί από κλέφτες πληροφοριών. Αλλά, όπως επισημαίνει ο Reddington, αυτό σημαίνει ότι οποιοσδήποτε άλλος μπορεί να ψάξει σε αυτά τα αποθετήρια για αυτά και άλλα στοιχεία πρόσβασης που έχουν κλαπεί από λογαριασμούς EPAM. Ο Reddington λέει ότι βρήκαν στο διαδίκτυο δεδομένα που χρησιμοποιήθηκαν από εννέα διαφορετικούς κλέφτες πληροφοριών για να συλλέξουν δεδομένα από τα μηχανήματα των εργαζομένων της EPAM. Αυτό εγείρει πιθανές ανησυχίες σχετικά με την ασφάλεια των δεδομένων που ανήκουν σε άλλους πελάτες του EPAM.

Η EPAM έχει πελάτες σε διάφορους κρίσιμους κλάδους, συμπεριλαμβανομένων των τραπεζών και άλλων χρηματοπιστωτικών υπηρεσιών, της υγειονομικής περίθαλψης, των δικτύων ραδιοτηλεόρασης, των φαρμακευτικών, της ενέργειας και άλλων υπηρεσιών κοινής ωφέλειας, των ασφαλίσεων, καθώς και του λογισμικού και της υψηλής τεχνολογίας - στους τελευταίους πελάτες περιλαμβάνονται οι Microsoft, Google, Adobe και Amazon Web Services. Δεν είναι σαφές, ωστόσο, αν κάποια από αυτές τις εταιρείες διαθέτει λογαριασμούς Snowflake στους οποίους έχουν πρόσβαση οι εργαζόμενοι της EPAM. Το WIRED δεν μπόρεσε επίσης να επιβεβαιώσει αν οι Ticketmaster, Santander, Lending Tree ή Advance AutoParts είναι πελάτες της EPAM.

Η εκστρατεία Snowflake αναδεικνύει επίσης τους αυξανόμενους κινδύνους ασφαλείας από εταιρείες τρίτων γενικά και από κλέφτες πληροφοριών. Σε ανάρτησή της στο blog αυτή την εβδομάδα, η Mandiant πρότεινε ότι παραβιάστηκαν πολλοί συνεργάτες για να αποκτήσουν πρόσβαση σε λογαριασμούς Snowflake, σημειώνοντας ότι οι εργολάβοι -συχνά γνωστές ως εταιρείες εξωτερικής ανάθεσης επιχειρηματικών διαδικασιών (BPO)- αποτελούν πιθανό χρυσωρυχείο για τους χάκερ, επειδή η παραβίαση του μηχανήματος ενός εργολάβου που έχει πρόσβαση στους λογαριασμούς πολλών πελατών μπορεί να τους δώσει άμεση πρόσβαση σε πολλούς λογαριασμούς πελατών.

"Οι εργολάβοι που προσλαμβάνουν οι πελάτες για να βοηθήσουν στη χρήση του Snowflake μπορεί να χρησιμοποιούν προσωπικούς ή/και μη ελεγχόμενους φορητούς υπολογιστές που επιδεινώνουν αυτόν τον αρχικό φορέα εισόδου", έγραψε η Mandiant στην ανάρτησή της στο ιστολόγιό της. "Αυτές οι συσκευές, που συχνά χρησιμοποιούνται για την πρόσβαση στα συστήματα πολλών οργανισμών, αποτελούν σημαντικό κίνδυνο. Εάν παραβιαστεί από κακόβουλο λογισμικό infostealer, ο φορητός υπολογιστής ενός και μόνο εργολάβου μπορεί να διευκολύνει την πρόσβαση των φορέων απειλής σε πολλούς οργανισμούς, συχνά με προνόμια επιπέδου IT και διαχειριστή".

Η εταιρεία υπογράμμισε επίσης τον αυξανόμενο κίνδυνο από τους infostealers, σημειώνοντας ότι η πλειονότητα των στοιχείων πιστοποίησης που χρησιμοποίησαν οι χάκερ στην εκστρατεία Snowflake προήλθε από αποθετήρια δεδομένων που είχαν κλαπεί προηγουμένως από διάφορες εκστρατείες infostealer, ορισμένες από τις οποίες χρονολογούνται από το 2020. "Η Mandiant εντόπισε εκατοντάδες πιστοποιητικά πελατών Snowflake που εκτέθηκαν μέσω infostealers από το 2020", σημείωσε η εταιρεία.

Αυτό, σε συνδυασμό με το γεγονός ότι οι στοχευόμενοι λογαριασμοί Snowflake δεν χρησιμοποιούσαν MFA για την περαιτέρω προστασία τους, κατέστησαν δυνατές τις παραβιάσεις σε αυτή την εκστρατεία, σημειώνει η Mandiant.

Ο CISO της Snowflake, Brad Jones, αναγνώρισε την περασμένη εβδομάδα ότι η έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων επέτρεψε τις παραβιάσεις. Σε τηλεφωνική επικοινωνία αυτή την εβδομάδα, ο Jones δήλωσε στο WIRED ότι η Snowflake εργάζεται για να δώσει στους πελάτες της τη δυνατότητα να δώσουν εντολή στους χρήστες των λογαριασμών τους να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων στο μέλλον, "και στη συνέχεια θα εξετάσουμε στο μέλλον την προεπιλογή MFA", λέει.

Πηγή:Hackers Detail How They Allegedly Stole Ticketmaster Data From Snowflake