Une violation majeure des données de Snowflake a été liée aux récents piratages de Santander et Ticketmaster, selon des experts en cybersécurité. Santander, qui emploie 200 000 personnes dans le monde, dont environ 20 000 au Royaume-Uni, a confirmé le vol de données.
Tout semble lié à la violation de données de Snowflake
Santander s’est excusé pour « l’inquiétude que cela va naturellement causer » et « contacte directement de manière proactive les clients et les employés concernés ». Il a assuré le BBC que « les données des clients britanniques n’ont pas été affectées ou perdues lors du piratage ». Selon un déclaration publié plus tôt ce mois-ci, « à la suite d’une enquête, nous avons maintenant confirmé que certaines informations relatives aux clients de Santander au Chili, en Espagne et en Uruguay, ainsi que tous les employés actuels et certains anciens employés de Santander du groupe, ont été consultées ».
Santander a souligné qu ‘ »aucune donnée transactionnelle ni aucune information d’identification permettant d’effectuer des transactions sur les comptes n’est contenue dans la base de données, y compris les informations bancaires en ligne et les mots de passe ». Elle a assuré à ses clients que ses systèmes bancaires n’étaient pas affectés, permettant ainsi la poursuite des transactions sécurisées.
Sur un forum de hacking, des chercheurs de Informateur du Dark Web repéré pour la première fois une annonce publiée par un groupe appelé Chasseurs brillantsaffirmant qu’ils disposaient de données importantes.
Santander n’a pas vérifié ces affirmations. ShinyHunters a déjà vendu des données confirmées avoir été volées à la société de télécommunications américaine AT&T et vend maintenant ce qu’ils prétendent être une quantité importante de données privées de Ticketmaster. Le gouvernement australien travaille avec Ticketmaster pour résoudre ce problème, et le FBI a proposé son aide.
Certains experts préviennent que les affirmations de ShinyHunters pourraient être un coup publicitaire. Cependant, les chercheurs de la société de cybersécurité Hudson Rock affirment que la violation de Santander et l’apparente Violation de Ticketmaster sont lié à un piratage important en cours d’une grande société de stockage cloud appelée Snowflake.
Hudson Rock affirme avoir communiqué avec les auteurs de la prétendue violation de données de Snowflake, qui affirment avoir eu accès au système interne de Snowflake en volant les informations de connexion d’un employé de Snowflake. Snowflake, dans un communiqué publié vendredi, a reconnu un « accès potentiellement non autorisé » à un « nombre limité » de comptes clients. La société a précisé que les pirates semblaient avoir utilisé les informations de connexion pour accéder à un compte de démonstration appartenant à un ancien employé, qui « ne contenait pas de données sensibles ». Snowflake a déclaré : « Nous n’avons aucune preuve suggérant que cette activité a été causée par une vulnérabilité, une mauvaise configuration ou une violation du produit de Snowflake. »
Dans une analyse détaillée, Kevin Beaumont fourni un aperçu complet de la violation massive des données de Snowflake.
Aperçu de l’incident :
- Snowflake est au centre de ce qui semble être l’une des plus grandes violations de données jamais enregistrées, impliquant potentiellement les données de millions de personnes. Cette faille a touché plusieurs clients de Snowflake, entraînant d’importantes exfiltrations de données.
- La violation de données Snowflake a été perpétrée par le groupe de piratage ShinyHunters, qui ciblait auparavant des sociétés comme AT&T et Ticketmaster. Ils affirment avoir accédé à de grandes quantités de données, dont 30 millions de détails de comptes bancaires et 28 millions de numéros de cartes de crédit.
- Les pirates ont utilisé des logiciels malveillants de vol d’informations pour accéder aux bases de données de Snowflake en exploitant les informations d’identification volées. Cela a été facilité par les mesures de sécurité insuffisantes de Snowflake, telles que le manque d’authentification multifacteur sur les comptes de démonstration.
L’environnement de démonstration de Snowflake a été compromis car il n’utilisait pas d’authentification multifacteur, permettant aux pirates d’accéder à l’aide des informations d’identification d’un ancien employé. Snowflake a émis des alertes concernant les activités de menace potentielles, conseillant aux clients de surveiller les connexions de l’agent utilisateur « violflake ». Elle a engagé les sociétés de cybersécurité Crowdstrike et Mandiant pour la réponse aux incidents. Ils ont reconnu que la violation avait été facilitée par l’authentification à facteur unique et l’utilisation d’informations d’identification obtenues via des logiciels malveillants.
Les clients de Snowflake, issus de divers secteurs, ont subi d’importantes pertes de données. Cette violation met en évidence la nécessité d’améliorer les pratiques de sécurité parmi les fournisseurs de services cloud.
Alors que Snowflake tente de rejeter la faute sur les pratiques de sécurité de ses clients, l’incident souligne la nécessité pour Snowflake d’améliorer ses propres mesures de sécurité et d’assumer ses responsabilités.
Beaumont conseille que pour éviter de telles violations, une authentification multifacteur robuste et des pratiques d’authentification sécurisées doivent être mises en œuvre. Les fournisseurs de cloud doivent adopter des paramètres de sécurité par défaut plus stricts pour protéger leurs clients.
Crédits images : Kerem Gülen/Milieu du voyage