Cientos de contraseñas de clientes de Snowflake encontradas en línea están vinculadas a malware que roba información

La empresa de análisis de datos en la nube Snowflake está en el centro de una reciente oleada de presuntos robos de datos, mientras que sus clientes corporativos se apresuran a entender si sus almacenes de datos en la nube han sido comprometidos.

El gigante de datos con sede en Boston ayuda a algunas de las mayores corporaciones globales, incluidos bancos, proveedores de servicios de salud y empresas tecnológicas, a almacenar y analizar sus vastas cantidades de datos en la nube, como datos de clientes.

La semana pasada, las autoridades australianas advirtieron que se habían dado cuenta de "compromisos exitosos de varias empresas que utilizan entornos de Snowflake", sin nombrar a las empresas. Los piratas informáticos afirmaron en un conocido foro de ciberdelincuencia que habían robado cientos de millones de registros de clientes de Santander Bank y Ticketmaster, dos de los mayores clientes de Snowflake. Santander confirmó una brecha en una base de datos "alojada por un proveedor de terceros", pero no reveló el proveedor en cuestión. El viernes, Live Nation confirmó que su subsidiaria Ticketmaster fue pirateada y que la base de datos robada estaba alojada en Snowflake.

Snowflake reconoció en un breve comunicado que estaba al tanto de "accesos potencialmente no autorizados" a un "número limitado" de cuentas de cliente, sin especificar cuáles, pero que no encontró evidencia de que hubiera una brecha directa en sus sistemas. Snowflake calificó el incidente como una "campaña dirigida a usuarios con autenticación de un solo factor" y que los piratas informáticos utilizaron "previamente adquiridos o obtenidos a través de malware de robo de información", diseñado para obtener las contraseñas guardadas de un usuario de su computadora.

A pesar de los datos sensibles que Snowflake guarda para sus clientes, Snowflake permite a cada cliente gestionar la seguridad de sus entornos y no los obliga automáticamente a utilizar la autenticación de múltiples factores, o MFA, según la documentación de clientes de Snowflake. La falta de aplicación de MFA parece ser la razón por la cual los ciberdelincuentes supuestamente obtuvieron grandes cantidades de datos de algunos clientes de Snowflake, algunos de los cuales configuraron sus entornos sin la medida de seguridad adicional.

Snowflake admitió que una de sus propias cuentas de "demostración" fue comprometida porque no estaba protegida más allá de un nombre de usuario y una contraseña, pero afirmó que la cuenta "no contenía datos sensibles". No está claro si esta cuenta de demostración robada desempeña algún papel en las brechas recientes.

TechCrunch ha visto esta semana cientos de credenciales de clientes de Snowflake presuntamente disponibles en línea para que los ciberdelincuentes las utilicen como parte de campañas de piratería, lo que sugiere que el riesgo de compromisos de cuentas de clientes de Snowflake puede ser mucho más amplio de lo que se conocía inicialmente.

Las credenciales fueron robadas por malware de robo de información que infectó las computadoras de empleados que tienen acceso al entorno de Snowflake de su empleador.

Algunas de las credenciales vistas por TechCrunch parecen pertenecer a empleados de empresas conocidas por ser clientes de Snowflake, incluidos Ticketmaster y Santander, entre otros. Los empleados con acceso a Snowflake incluyen a ingenieros de bases de datos y analistas de datos, algunos de los cuales hacen referencia a su experiencia usando Snowflake en sus páginas de LinkedIn.

Por su parte, Snowflake ha pedido a los clientes que activen inmediatamente MFA para sus cuentas. Hasta entonces, las cuentas de Snowflake que no aplican el uso de MFA para iniciar sesión están poniendo en riesgo sus datos almacenados de ataques simples como robo y reutilización de contraseñas.

Cómo verificamos los datos

Una fuente con conocimiento de las operaciones de cibercrimen señaló a TechCrunch un sitio web donde los posibles atacantes pueden buscar entre listas de credenciales que han sido robadas de varias fuentes, como malware de robo de información en la computadora de alguien o recopiladas de brechas de datos anteriores. (TechCrunch no enlaza al sitio donde se encuentran disponibles las credenciales robadas para no ayudar a los actores malintencionados).

En total, TechCrunch ha visto más de 500 credenciales que contienen nombres de usuario y contraseñas de empleados, junto con las direcciones web de las páginas de inicio de sesión de los entornos de Snowflake correspondientes.

Las credenciales expuestas parecen pertenecer a entornos de Snowflake pertenecientes a Santander, Ticketmaster, al menos dos gigantes farmacéuticos, un servicio de entrega de alimentos, un proveedor de agua dulce público y otros. También hemos visto nombres de usuario y contraseñas expuestos que presuntamente pertenecen a un ex empleado de Snowflake.

TechCrunch no nombra al ex empleado porque no hay evidencia de que haya hecho algo incorrecto. (En última instancia, tanto Snowflake como sus clientes son responsables de implementar y hacer cumplir políticas de seguridad que prevengan intrusiones que resulten del robo de credenciales de empleados).

No probamos las credenciales robadas ya que hacerlo sería ilegal. Por lo tanto, se desconoce si las credenciales se están utilizando activamente o si llevaron directamente a compromisos de cuentas o robos de datos. En su lugar, trabajamos para verificar la autenticidad de las credenciales expuestas de otras maneras. Esto incluye verificar las páginas de inicio de sesión individuales de los entornos de Snowflake que fueron expuestos por el malware de robo de información, que aún estaban activos y en línea en el momento de escribir este artículo.

Las credenciales que hemos visto incluyen la dirección de correo electrónico del empleado (o nombre de usuario), su contraseña y la dirección web única para iniciar sesión en el entorno de Snowflake de su empresa. Cuando verificamos las direcciones web de los entornos de Snowflake, a menudo compuestas por letras y números aleatorios, encontramos que las páginas de inicio de sesión de clientes de Snowflake listadas son públicamente accesibles, incluso si no son buscables en línea.

TechCrunch confirmó que los entornos de Snowflake corresponden a las empresas cuyos inicio de sesión de empleados fueron comprometidos. Pudimos hacer esto porque cada página de inicio de sesión que verificamos tenía dos opciones separadas para iniciar sesión.

Una forma de iniciar sesión depende de Okta, un proveedor de inicio de sesión único que permite a los usuarios de Snowflake iniciar sesión con las credenciales corporativas de su propia empresa usando MFA. En nuestras verificaciones, encontramos que estas páginas de inicio de sesión de Snowflake redirigían a las páginas de inicio de sesión de Live Nation (para Ticketmaster) y Santander. También encontramos un conjunto de credenciales pertenecientes a un empleado de Snowflake, cuya página de inicio de sesión de Okta aún redirige a una página de inicio de sesión interna de Snowflake que ya no existe.

La otra opción de inicio de sesión de Snowflake permite al usuario utilizar solo su nombre de usuario y contraseña de Snowflake, dependiendo de si el cliente corporativo hace cumplir MFA en la cuenta, según se detalla en la propia documentación de soporte de Snowflake. Son estas credenciales las que parecen haber sido robadas por el malware de robo de información de las computadoras de los empleados.

No está claro exactamente cuándo se robaron las credenciales de los empleados o por cuánto tiempo han estado en línea.

Hay evidencia que sugiere que varios empleados con acceso a los entornos de Snowflake de su empresa tuvieron previamente sus computadoras comprometidas por malware de robo de información. Según una verificación en el servicio de notificación de brechas Have I Been Pwned, varias de las direcciones de correo electrónico corporativas utilizadas como nombres de usuario para acceder a los entornos de Snowflake se encontraron en un reciente volcado de datos que contenía millones de contraseñas robadas extraídas de varios canales de Telegram utilizados para compartir contraseñas robadas.

La portavoz de Snowflake, Danica Stanczak, se negó a responder preguntas específicas de TechCrunch, incluyendo si se encontraron datos de alguno de los clientes en la cuenta de demostración de un empleado de Snowflake. En un comunicado, Snowflake dijo que estaba "suspendiendo ciertas cuentas de usuario donde hay fuertes indicios de actividad maliciosa".

Snowflake agregó: "Bajo el modelo de responsabilidad compartida de Snowflake, los clientes son responsables de hacer cumplir MFA con sus usuarios". La portavoz dijo que Snowflake estaba "considerando todas las opciones para habilitar MFA, pero no hemos finalizado ningún plan en este momento".

Cuando se contactó por correo electrónico, la portavoz de Live Nation, Kaitlyn Henrich, no hizo comentarios en el momento de la publicación de este artículo.

Santander no respondió a una solicitud de comentarios.

La falta de MFA resultó en grandes brechas

Hasta ahora, la respuesta de Snowflake deja muchas preguntas sin respuesta y pone al descubierto una serie de empresas que no están aprovechando los beneficios que proporciona la seguridad MFA.

Lo que está claro es que Snowflake tiene al menos cierta responsabilidad por no exigir a sus usuarios que activen la función de seguridad, y ahora está soportando las consecuencias de eso, junto con sus clientes.

La brecha de datos en Ticketmaster supuestamente implica más de 560 millones de registros de clientes, según los ciberdelincuentes que anuncian los datos en línea. (Live Nation no comentó cuántos clientes se ven afectados por la brecha). Si se comprueba, Ticketmaster sería la mayor brecha de datos de EE. UU. hasta el momento, y una de las más grandes de la historia reciente.

Snowflake es la última empresa en una serie de incidentes de seguridad de alto perfil y brechas de datos considerable ocasionadas por la falta de MFA.

El año pasado, los ciberdelincuentes robaron alrededor de 6.9 millones de registros de clientes de cuentas de 23andMe que no estaban protegidas sin MFA, lo que llevó a la empresa de pruebas genéticas, y a sus competidores, a requerir que los usuarios habiliten MFA por defecto para prevenir un ataque repetido.

Y a principios de este año, el gigante tecnológico de salud de UnitedHealth, Change Healthcare, admitió que los piratas informáticos irrumpieron en sus sistemas y robaron grandes cantidades de datos de salud sensibles de un sistema no protegido con MFA. El gigante de la salud aún no ha dicho cuántas personas tuvieron su información comprometida, pero dijo que es probable que afecte a una "proporción sustancial de personas en Estados Unidos".


¿Sabes más sobre las intrusiones en las cuentas de Snowflake? Ponte en contacto. Para contactar a este reportero, comunícate a través de Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puedes enviar archivos y documentos a través de SecureDrop.