ข้อมูลรั่วไหลของ Snowflake: ยืนยันว่าแฮกเกอร์เข้าถึงผ่านการติดเชื้อ infostealer

 (hudsonrock.com)
1 คะแนน โดย GN⁺ 2024-06-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เมื่อวันที่ 31 พฤษภาคม 2024 บริษัทคลาวด์ Snowflake เผชิญเหตุข้อมูลรั่วไหลครั้งใหญ่
  • Hudson Rock ยืนยันว่าแฮกเกอร์เข้าถึงได้ผ่านการติดเชื้อ infostealer
  • แฮกเกอร์นำข้อมูลของหลายบริษัทใหญ่ รวมถึง Ticketmaster และธนาคาร Santander ไปขายในฟอรัมอาชญากรรมไซเบอร์ภาษารัสเซีย

วิธีการแฮ็ก

  • แฮกเกอร์ล็อกอินเข้าสู่บัญชี ServiceNow ของพนักงาน Snowflake โดยใช้ข้อมูลรับรองที่ถูกขโมยมา
  • หลบเลี่ยง OKTA เพื่อสร้าง session token และขโมยข้อมูลออกไปจำนวนมาก
  • แฮกเกอร์อ้างว่ามีบริษัทได้รับผลกระทบราว 400 แห่ง

หลักฐานเพิ่มเติม

  • แฮกเกอร์แชร์ไฟล์ CSV ให้กับนักวิจัยของ Hudson Rock เพื่อแสดงสิทธิ์การเข้าถึงเซิร์ฟเวอร์ของ Snowflake
  • ไฟล์นี้บันทึกข้อมูล customer instance มากกว่า 2,000 รายการที่เกี่ยวข้องกับเซิร์ฟเวอร์ในยุโรปของ Snowflake

เป้าหมายของแฮกเกอร์

  • แฮกเกอร์เรียกร้องเงิน 20 ล้านดอลลาร์จาก Snowflake เพื่อให้ได้ข้อมูลกลับคืน
  • บริษัทไม่ได้ตอบสนองต่อเรื่องนี้

การเพิ่มขึ้นของการติดเชื้อ infostealer

  • การติดเชื้อ infostealer เพิ่มขึ้น 6000% ตั้งแต่ปี 2018 และกลายเป็นช่องทางโจมตีเริ่มต้นที่สำคัญ
  • ถูกใช้เพื่อดำเนินการโจมตีไซเบอร์ เช่น ransomware, การขโมยข้อมูล, การยึดบัญชี และการสอดแนมองค์กร

ความเห็นของ GN⁺

  • ความสำคัญของความมั่นคงปลอดภัยไซเบอร์: เหตุการณ์นี้แสดงให้เห็นว่าบริษัทต่าง ๆ ต้องให้ความสำคัญกับความมั่นคงปลอดภัยไซเบอร์มากขึ้น โดยเฉพาะการจัดการข้อมูลรับรองของพนักงาน
  • ภัยคุกคามจาก infostealer: infostealer กำลังแพร่กระจายอย่างรวดเร็วมาก และองค์กรควรเตรียมมาตรการรับมือไว้
  • กลยุทธ์การตอบสนอง: เมื่อเกิดเหตุแฮ็ก จำเป็นต้องตอบสนองอย่างรวดเร็วและมีกลยุทธ์ลดความเสียหาย โดยกรณีของ Snowflake การตอบสนองที่ล่าช้าทำให้ความเสียหายเพิ่มขึ้น
  • การอบรมด้านความปลอดภัย: การเสริมการอบรมด้านความปลอดภัยให้พนักงานเพื่อเพิ่มความตระหนักเรื่องการจัดการข้อมูลรับรองและการโจมตีแบบฟิชชิงเป็นสิ่งสำคัญ
  • โซลูชันทดแทน: อาจพิจารณาโซลูชันจัดเก็บข้อมูลบนคลาวด์อื่นที่ให้ความสามารถคล้าย Snowflake เช่น AWS S3 หรือ Google Cloud Storage

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-06-01
ความเห็นจาก Hacker News
  • ระหว่างการทำงานร่วมกับ Snowflake วิศวกรโซลูชัน (SE) ได้ตั้งค่าสภาพแวดล้อมเดโมและใช้ข้อมูลของลูกค้า ดูเหมือนว่าปัญหาเกิดจากลูกค้าไม่ได้จัดการวันหมดอายุของ ID
  • พาดหัวข่าวกับเนื้อหาไม่สอดคล้องกัน ดูเหมือนจะเป็นปัญหาที่ไม่เกี่ยวกับการเปิดเผยข้อมูลลูกค้า และจำนวนลูกค้าที่ได้รับผลกระทบจริงมีน้อย
  • Felipe จาก Snowflake ได้แชร์ข้อมูลล่าสุดเกี่ยวกับปัญหานี้ สามารถดูรายละเอียดที่อัปเดตได้จากลิงก์
  • ภาพหน้าจอของบันทึกแชตน่าประทับใจ อาชญากรกำลังสื่อสารกับบริษัทนี้ และอ้างว่าสามารถหยุดการบุกรุกได้ด้วยความช่วยเหลือของบริษัท
  • ดูเหมือนว่าระบบของ Snowflake ถูกออกแบบให้อนุญาตการเข้าถึงทั้งหมดผ่านบัญชีผู้ดูแลระบบเพียงบัญชีเดียว สิ่งนี้ทำให้กรณีของ Ticketmaster และ Santander ดูน่าเชื่อถือมากขึ้น
  • Snowflake อ้างว่าปัญหาเกิดจากความผิดพลาดของลูกค้า โดยเน้นว่าจากผลการวิจัย ไม่ได้เกิดจากช่องโหว่ของผลิตภัณฑ์ Snowflake หรือการตั้งค่าที่ผิดพลาด
  • ตามคำชี้แจงอย่างเป็นทางการของ Snowflake เหตุการณ์ครั้งนี้เกี่ยวข้องกับการที่ข้อมูลรับรองผู้ใช้ของลูกค้าถูกเปิดเผย ไม่ใช่ปัญหาของตัวผลิตภัณฑ์ Snowflake เอง
  • มีการอ้างว่าเหตุละเมิดของ Ticketmaster ซึ่งส่งผลกระทบต่อบริษัทมากกว่า 400 แห่ง เกิดจากการขโมยข้อมูลรับรองของพนักงาน Snowflake พร้อมทั้งมีการตั้งคำถามถึงความน่าเชื่อถือของ Hudson Rock
  • มีคำอธิบายว่าผู้ไม่หวังดีได้ขโมยบัญชี ServiceNow ของพนักงาน Snowflake เพื่อหลบเลี่ยง OKTA และมีการขอคำอธิบายเกี่ยวกับบทบาทและความสำคัญของ ServiceNow
  • มีการตั้งข้อสงสัยว่าการขโมยข้อมูลรับรองของพนักงาน Snowflake จะทำให้เข้าถึงข้อมูลลูกค้าได้อย่างไร สะท้อนว่ามีความคาดหวังสูงต่อความปลอดภัยข้อมูลของ Snowflake.