Investigadores han descubierto una web que incluye más de 500 credenciales de cuentas pertenecientes a clientes de Snowflake, una filtración masiva que guarda relación con la reciente brecha de seguridad que expuso datos de empresas como Banco Santander y Ticketmaster.
Tal y como se pudo conocer hace unos días, Banco Santander sufrió un "acceso no autorizado" en una base de datos de la entidad alojada en un proveedor externo, que afectó a clientes de España, Chile, Uruguay, además de a todos los empleados del grupo y que podría tener como consecuencia el robo de información de sus clientes.
La empresa de venta de entradas online TicketMaster también registró un incidente de seguridad similar a finales de mayo, cuando el grupo de hackers ShinyHunters aseguró que tenía en su poder datos de 560 millones de usuarios de esta plataforma, incluyendo direcciones de correo electrónico, números de teléfono e, incluso, datos de las tarjetas bancarias.
Por otra parte, el servicio de almacenamiento y análisis de datos en la nube Snowflake publicó la semana pasada un comunicado en el que admitía estar investigando, junto con los expertos en ciberseguridad CrowdStrike y Mandiant, una campaña de amenazas dirigida a algunas cuentas de clientes de Snowflake.
En este sentido, la compañía aseguró que se habían comprometido "un número limitado" de cuentas de clientes, aunque no detalló exactamente cuáles. Además, matizó que no encontraron indicios de que la actividad maliciosa fuese causada por una vulnerabilidad o violación de su plataforma ni que hubieran identificaron evidencias de que el incidente fuese ocasionado por contraseñas comprometidas del personal actual o anterior de la plataforma.
En este sentido, Snowflake determinó que "parecía una campaña dirigida a usuarios con autenticación de un solo factor" -es decir, que no contaba con MFA- y que los actores maliciosos habrían aprovechado credenciales previamente compradas u obtenidas mediante un malware de robo de información.
La organización también detalló que había encontrado evidencias de que un actor malicioso obtuvo credenciales personales y que accedió a cuentas de demostración pertenecientes a un exempleado. Aun así, subrayó que esta cuenta no contenía datos sensibles, ya que las cuentas de demostración no están conectadas a los sistemas corporativos o de producción de Snowflake.
Recientemente se han identificado más de 500 credenciales de inicio de sesión que presuntamente pertenecen a clientes de Snowflake que están disponibles online, lo que quiere decir que da vía libre a los ciberdelincuentes para apropiarse de ellas y utilizarlas en campañas maliciosas.
Según ha podido saber TechCrunch, los atacantes se hicieron con estas claves mediante un malware de robo de información que infectó los dispositivos de empleados que tienen acceso a las cuentas de sus clientes.
Entre las claves de acceso incluidas en este directorio estarían algunas pertenecientes a Banco Santander, Ticketmaster, dos gigantes farmacéuticos -que no ha identificado- y un servicio de entrega de alimentos, entre otros. Igualmente, se han identificado nombres de usuario y contraseñas de un exempleado de la propia Snowflake.
Este medio ha matizado que se desconoce cuándo fueron robadas las credenciales de los empleados, ni cuánto tiempo llevan expuestas online, aunque sí han comprobado que las credenciales no contaban con la seguridad que otorga el sistema MFA.
Conviene decir que Snowflake no impone el uso de la autentificación de doble factor para iniciar sesión a sus clientes, por lo que ha comunicado a TechCrunch que son estos los "responsables de hacer cumplir MFA con sus usuarios" y ha recomendado habilitar esta solución de seguridad.