Хакеры ShinyHunters рассказали, как они получили доступ к данным сотен компаний.
В последние недели мир стал свидетелем масштабной кибератаки на компанию Snowflake, специализирующуюся на облачном хранении данных. Хакеры ShinyHunters получили доступ к учетным записям Snowflake, предварительно взломав компанию-подрядчика EPAM Systems, которая сотрудничает с клиентами Snowflake.
По предварительным данным, пострадало около 165 компаний, однако на сегодняшний день идентифицированы лишь несколько из них. Самые заметные жертвы взлома – компания по продаже билетов Ticketmaster и банк Santander, который не уточнил, откуда были украдены данные. Однако издание Wired установило, что данные банка были украдены с помощью учетной записи Snowflake, содержащей банковские реквизиты 30 миллионов клиентов, включая номера счетов, балансы, номера карт и информацию о персонале.
Snowflake пока не раскрыла детали, каким образом хакеры получили доступ к учетным записям, лишь отметив, что сеть компании не была взломана напрямую. Безопасностью инцидента занимается компания Mandiant. В своем блоге Mandiant сообщила, что в некоторых случаях злоумышленники получили доступ через подрядчиков, не уточняя, каких именно.
Тем не менее, один из хакеров, общавшийся с Wired, назвал EPAM Systems одной из таких компаний. По словам хакера, группа ShinyHunters использовала данные, найденные в системе сотрудника EPAM, чтобы получить доступ к учетным записям Snowflake.
EPAM Systems отвергла свою причастность ко взломам, назвав заявления хакеров ложью. Однако, по словам хакера, доступ к учетным записям Snowflake был получен через заражение компьютера сотрудника EPAM в Украине с помощью вредоносного ПО. На компьютере были найдены незашифрованные логины и пароли, которые использовались для управления учетными записями клиентов Snowflake, в том числе и Ticketmaster.
Кроме того, оказалось, что в учетных записях Snowflake отсутствовала многофакторная аутентификация, что позволило хакерам получить доступ через логины и пароли. Это еще раз подчеркивает важность использования многофакторной аутентификации для защиты данных.
Компании Snowflake и EPAM Systems продолжают расследование инцидента. Snowflake заявила о планах внедрить обязательное использование многофакторной аутентификации для всех своих клиентов в ближайшее время, чтобы предотвратить подобные инциденты в будущем.
Ситуация также обострила внимание к растущим рискам безопасности, связанным с использованием сторонних подрядчиков и вредоносного ПО. Mandiant указала на значительные риски, которые представляют подрядчики, имеющие доступ к системам множества клиентов.
Компрометация одного устройства подрядчика может дать злоумышленникам доступ к данным многих организаций. Стоит отметить, что помимо Ticketmaster и Santander от компрометации аккаунтов Snowflake пострадали также компании Neiman Marcus, LendingTree, Advance Auto Parts и Pure Storage.
И мы тоже не спим, чтобы держать вас в курсе всех угроз