История о том, как две компании борются за правду.
Компания Hudson Rock удалила свой онлайн-отчёт о взломе систем облачного хранения и аналитики Snowflake, ссылаясь на юридическое давление со стороны последней. В отчёте утверждалось, что злоумышленники получили доступ к системам Snowflake и украли данные сотен клиентов, включая информацию клиентов Ticketmaster и Santander Bank.
Hudson Rock заявила, что преступники получили доступ к учетным данным сотрудника Snowflake с помощью вредоносного ПО, что позволило им выгрузить огромное количество данных из облачных аккаунтов клиентов Snowflake. Однако, Snowflake утверждает, что такого взлома не было.
Хотя известно, что данные Ticketmaster и Santander действительно были украдены, точные детали о способе и источнике утечки пока не известны. Представитель Ticketmaster сообщил, что украденные данные были размещены в Snowflake.
Snowflake заявляет, что если данные клиентов и были украдены, то это могло произойти из-за компрометации учетных данных самих клиентов через фишинг, утечки или вредоносное ПО, а не из-за взлома их собственных систем безопасности. Компания считает, что ограниченное число клиентов действительно могли пострадать из-за использования украденных учетных данных, особенно если у них не была включена двухфакторная аутентификация.
Компания категорически отрицает взлом своих систем и настояла на том, чтобы Hudson Rock удалила свой отчет, в котором утверждалось обратное. 3 июня Hudson Rock заявила, что удаляет весь контент, связанный с их отчетом, в соответствии с полученным от Snowflake юридическим письмом. От дальнейших комментариев компания отказалась.
Заявление Hudson Rock об удалении контента
31 мая Hudson Rock опубликовала ныне удалённый отчёт, в котором утверждалось, что злоумышленники использовали учетную запись сотрудника Snowflake в ServiceNow для доступа к базам данных до 400 корпоративных клиентов Snowflake. При этом заявлялось, что хакеры сами связались с Hudson Rock и предоставили информацию о масштабе взлома.
В Snowflake подтвердили, что учетные данные сотрудника действительно были украдены, но они использовались только для доступа к демонстрационным учетным записям, не содержащим конфиденциальных данных. Учетные записи не были защищены многофакторной аутентификацией, в отличие от производственных и корпоративных систем Snowflake.
Тем временем Snowflake признала, что ограниченное число клиентов Snowflake могли подвергнуться атаке из-за целевой кампании против пользователей без MFA. Злоумышленники могли использовать учетные данные, полученные через фишинг или вредоносное ПО, чтобы получить доступ к облачным хранилищам клиентов.
Snowflake не выявила доказательств, что взлом был вызван компрометацией учетных данных текущих или бывших сотрудников Snowflake или уязвимостью платформы компании. Вместе с CrowdStrike и Mandiant, Snowflake продолжает расследование инцидента, настоятельно рекомендуя клиентам включить многофакторную аутентификацию.
Тем временем, другие крупные клиенты Snowflake, такие как Live Nation Entertainment, уже сообщили о несанкционированной активности в своих облачных базах данных. Также поступили сообщения от ИБ-специалистов, что другие клиенты Snowflake могли пострадать от кражи данных в мае.
CrowdStrike и Mandiant отказались комментировать ситуацию, ссылаясь на продолжающееся расследование. Snowflake также отказалась назвать конкретных клиентов, чьи данные были скомпрометированы.
Одно найти легче, чем другое. Спойлер: это не темная материя