Snowflake suspeita de origem de vazamento gigantesco

Paulo Brito
02/06/2024

A Snowflake, uma das maiores plataformas de armazenamento e análise de dados em inteligência artificial, está sob a suspeita de ser a origem de grandes vazamentos de dados; num deles os dados pertenceriam ao Banco Santander, em outro à plataforma de ingressos TicketMaster. Com sede no Estados Unidos e uma receita anual da ordem de US$ 2,4 bilhões, a empresa opera uma plataforma de “dados como serviço”, permitindo que usuários corporativos armazenem e analisem dados usando hardware e software baseados em nuvem.

No dia 31 de Maio, a consultoria Hudson Rock publicou um artigo (agora removido) relatando a violação de dados na Snowflake intitulada “Snowflake, gigante do armazenamento em nuvem, sofre violação massiva: hacker confirma acesso ao Hudson Rock por meio de infecção por Infostealer”. O texto acrescenta: “Nesta pesquisa, pretendemos esclarecer uma das maiores violações de dados até o momento (…) A história começa em 26 de maio, em uma conversa no Telegram com um ator de ameaça que afirma ter hackeado duas grandes empresas, a Ticketmaster e o Banco Santander (…) Na conversa com a Hudson Rock, o ator da ameaça revela que há muito mais nesta história do que essas duas violações, e que outras grandes empresas sofreram um destino semelhante(…)”

Veja isso
Toyota sofre novo ataque com vazamento de dados de clientes
Vazamento do LockBit 3.0 dá origem a novas variantes

Segundo artigo assinado pelo pesquisador Kevin Beaumont, essa pode ser “a maior violação de dados do mundo – em termos de indivíduos afetados – com a Snowflake como o fornecedor que liga as vítimas. Muitos dados foram transmitidos”.

Segundo a Hudson Rock, a invasão foi explicada pelo hacker: “o agente da ameaça explica que conseguiu entrar na conta ServiceNow de um funcionário da Snowflake usando credenciais roubadas, ignorando assim o OKTA, localizado em lift.snowflake.com. Após a infiltração, o autor da ameaça afirma que foi capaz de gerar tokens de sessão, o que lhes permitiu exfiltrar grandes quantidades de dados da empresa”.

A Snowflake publicou uma declaração assinada conjuntamente pela Mandiant e pela Crowdstrike informando, entre outras coisas, que “não identificamos evidências que sugiram que esta atividade foi causada por uma vulnerabilidade, configuração incorreta ou violação da plataforma Snowflake” e que “encontramos evidências de que um agente de ameaça obteve credenciais pessoais e acessou contas de demonstração pertencentes a um ex-funcionário da Snowflake”.

Compartilhar: