L’entreprise d’analyse de données dans le cloud Snowflake se retrouve au centre de l’attention suite à une série de brèches de données potentielles chez ses clients, qui s’empressent de comprendre si leurs données ont été compromises. Snowflake aide certaines des plus grandes entreprises mondiales, dont des banques, des fournisseurs de soins de santé et des entreprises technologiques, à stocker et à analyser leurs vastes quantités de données dans le cloud.
La semaine dernière, les autorités australiennes ont tiré la sonnette d’alarme, déclarant avoir pris connaissance de « compromis réussis de plusieurs entreprises utilisant les environnements Snowflake », sans nommer les entreprises en question. Des pirates informatiques ont affirmé sur un forum de cybercriminalité connu avoir volé des centaines de millions de dossiers clients appartenant à Santander Bank et Ticketmaster, deux des plus grands clients de Snowflake.
Des mots de passe exposés liés à des logiciels malveillants
Snowflake a reconnu dans une brève déclaration qu’elle était au courant d’un « accès potentiellement non autorisé » à un « nombre limité » de comptes clients, sans préciser lesquels. Cependant, l’entreprise affirme n’avoir trouvé aucune preuve d’une brèche directe de ses systèmes. Au lieu de cela, Snowflake a qualifié l’incident de « campagne ciblée dirigée contre des utilisateurs avec une authentification à un seul facteur » et a indiqué que les pirates ont utilisé des mots de passe « précédemment achetés ou obtenus via des logiciels malveillants de vol d’informations », qui sont conçus pour récupérer les mots de passe enregistrés sur l’ordinateur d’un utilisateur.
Malgré la sensibilité des données que Snowflake détient pour ses clients, l’entreprise laisse chaque client gérer la sécurité de ses environnements et n’inscrit pas automatiquement ni n’exige que ses clients utilisent l’authentification multi-facteurs (MFA), selon la documentation client de Snowflake. Le fait de ne pas imposer l’utilisation de l’AMF semble être la façon dont les cybercriminels ont prétendument obtenu d’énormes quantités de données de certains clients de Snowflake, dont certains ont configuré leurs environnements sans la mesure de sécurité supplémentaire.
Des centaines d’identifiants Snowflake en circulation
TechCrunch a pu voir cette semaine des centaines d’identifiants présumés de clients Snowflake qui sont disponibles en ligne pour que les cybercriminels les utilisent dans le cadre de campagnes de piratage, ce qui suggère que le risque de compromission des comptes clients de Snowflake pourrait être beaucoup plus important qu’on ne le pensait initialement.
Les identifiants ont été volés par des logiciels malveillants de vol d’informations qui ont infecté les ordinateurs des employés ayant accès à l’environnement Snowflake de leur employeur. Certains des identifiants vus par TechCrunch semblent appartenir à des employés d’entreprises connues pour être des clients de Snowflake, notamment Ticketmaster et Santander, entre autres.
Pour sa part, Snowflake a demandé aux clients d’activer immédiatement l’AMF pour leurs comptes. Jusqu’à présent, les comptes Snowflake qui n’imposent pas l’utilisation de l’AMF pour se connecter mettent leurs données stockées en danger de compromission par des attaques simples comme le vol et la réutilisation de mots de passe.
TechCrunch
L’absence d’authentification multi-facteurs à l’origine d’énormes brèches
La réponse de Snowflake jusqu’à présent laisse de nombreuses questions sans réponse et met à nu une foule d’entreprises qui ne profitent pas des avantages qu’offre la sécurité AMF. Ce qui est clair, c’est que Snowflake porte au moins une part de responsabilité pour ne pas avoir exigé que ses utilisateurs activent cette fonction de sécurité et en subit maintenant les conséquences, tout comme ses clients.
- La violation de données chez Ticketmaster impliquerait plus de 560 millions de dossiers clients, selon les cybercriminels qui font la publicité des données en ligne. S’il est prouvé, il s’agirait de la plus grande violation de données américaine de l’année jusqu’à présent, et l’une des plus importantes de l’histoire récente.
- L’année dernière, les cybercriminels ont récupéré environ 6,9 millions de dossiers clients de comptes 23andMe qui n’étaient pas protégés par l’AMF, ce qui a incité l’entreprise de tests génétiques – et ses concurrents – à exiger que les utilisateurs activent l’AMF par défaut pour éviter une nouvelle attaque.
- Et plus tôt cette année, le géant de la technologie de la santé Change Healthcare, propriété d’UnitedHealth, a admis que des pirates informatiques s’étaient introduits dans ses systèmes et avaient volé d’énormes quantités de données de santé sensibles à partir d’un système non protégé par l’AMF.
Snowflake est la dernière entreprise d’une longue série d’incidents de sécurité très médiatisés et de violations de données importantes causés par l’absence d’AMF. Cette série de brèches de données met en lumière l’importance cruciale de l’authentification multi-facteurs dans la protection des données sensibles stockées dans le cloud. Les entreprises et leurs fournisseurs de services cloud doivent faire de la mise en œuvre de l’AMF une priorité absolue pour éviter de devenir la prochaine victime d’une cyberattaque dévastatrice.