Das Cloud-Datenanalyseunternehmen Snowflake steht im Zentrum einer jüngsten Welle mutmaßlicher Datendiebstähle, während seine Unternehmenskunden verzweifelt versuchen herauszufinden, ob ihre Cloud-Datenspeicher kompromittiert wurden.
Der in Boston ansässige Datenriese hilft einigen der größten globalen Konzerne – darunter Banken, Gesundheitsdienstleister und Technologieunternehmen –, ihre riesigen Datenmengen, etwa Kundendaten, in der Cloud zu speichern und zu analysieren.
Letzte Woche haben die australischen Behörden schlug Alarm Sie sagten, sie seien auf „erfolgreiche Angriffe auf mehrere Unternehmen aufmerksam geworden, die Snowflake-Umgebungen nutzen“, ohne die Namen der Unternehmen zu nennen. Hacker hatten in einem bekannten Cybercrime-Forum behauptet, sie hätten Hunderte Millionen Kundendaten von Santander Bank und Ticketmaster, zwei der größten Kunden von Snowflake, gestohlen. Santander bestätigte einen Verstoß gegen eine Datenbank „von einem Drittanbieter gehostet“, nannte den betreffenden Anbieter jedoch nicht. Am Freitag bestätigte Live Nation, dass seine Tochtergesellschaft Ticketmaster gehackt wurde und die gestohlene Datenbank auf Snowflake gehostet wurde.
Snowflake bestätigt in einer kurzen Stellungnahme dass man sich eines „möglicherweise unbefugten Zugriffs“ auf eine „begrenzte Anzahl“ von Kundenkonten bewusst sei, ohne zu spezifizieren, um welche es sich handelte, dass man jedoch keine Beweise dafür gefunden habe, dass es einen direkten Angriff auf seine Systeme gegeben habe. Snowflake bezeichnete es vielmehr als „gezielte Kampagne, die sich an Benutzer mit Einzelfaktor-Authentifizierung richtete“ und dass die Hacker „zuvor gekaufte oder durch Infostealing erhaltene Malware“ verwendet hätten, die darauf ausgelegt sei, die gespeicherten Passwörter eines Benutzers von dessen Computer abzugreifen.
Trotz der sensiblen Daten, die Snowflake für seine Kunden speichert, lässt Snowflake jeden Kunden die Sicherheit seiner Umgebungen verwalten und registriert seine Kunden nicht automatisch oder verlangt von ihnen die Verwendung einer Multi-Faktor-Authentifizierung (MFA). gemäß Snowflakes Kundendokumentation. Durch die Nichterzwingung der Verwendung von MFA haben Cyberkriminelle angeblich riesige Datenmengen von einigen Kunden von Snowflake erlangt, von denen einige ihre Umgebungen ohne die zusätzliche Sicherheitsmaßnahme eingerichtet haben.
Snowflake räumte ein, dass eines seiner eigenen „Demo“-Konten kompromittiert wurde, da es nicht über einen Benutzernamen und ein Passwort hinaus geschützt war, behauptete jedoch, dass das Konto „keine sensiblen Daten enthielt“. Es ist unklar, ob dieses gestohlene Demo-Konto bei den jüngsten Verstößen eine Rolle spielt.
Tech hat diese Woche Hunderte von angeblichen Snowflake-Kundendaten entdeckt, die online verfügbar waren und von Cyberkriminellen für Hackerkampagnen verwendet werden konnten. Dies lässt darauf schließen, dass das Risiko einer Kompromittierung von Snowflake-Kundenkonten weitaus größer sein könnte als zunächst bekannt.
Die Anmeldeinformationen wurden mithilfe einer Infostealing-Malware gestohlen, die die Computer von Mitarbeitern infizierte, die Zugriff auf die Snowflake-Umgebung ihres Arbeitgebers haben.
Einige der von Tech gesehenen Zugangsdaten scheinen Mitarbeitern von Unternehmen zu gehören, die als Snowflake-Kunden bekannt sind, darunter Ticketmaster und Santander. Zu den Mitarbeitern mit Snowflake-Zugriff gehören Datenbankingenieure und Datenanalysten, von denen einige auf ihren LinkedIn-Seiten auf ihre Erfahrungen mit Snowflake verweisen.
Snowflake hat seinen Kunden gesagt, dass sie MFA für ihre Konten umgehend aktivieren sollen. Bis dahin setzen Snowflake-Konten, die die Verwendung von MFA für die Anmeldung nicht erzwingen, ihre gespeicherten Daten dem Risiko einfacher Angriffe wie Passwortdiebstahl und -wiederverwendung aus.
So haben wir die Daten überprüft
Eine Quelle mit Kenntnissen über cyberkriminelle Aktivitäten wies Tech auf eine Website hin, auf der potenzielle Angreifer Listen mit Anmeldeinformationen durchsuchen können, die aus verschiedenen Quellen gestohlen wurden, beispielsweise durch Infostealing-Malware auf dem Computer einer Person oder aus früheren Datendiebstählen. (Tech verlinkt nicht auf die Website, auf der gestohlene Anmeldeinformationen verfügbar sind, um böswilligen Akteuren nicht zu helfen.)
Insgesamt hat Tech mehr als 500 Anmeldeinformationen gesehen, die Benutzernamen und Passwörter von Mitarbeitern sowie die Webadressen der Anmeldeseiten für die entsprechenden Snowflake-Umgebungen enthielten.
Die offengelegten Anmeldeinformationen scheinen sich auf Snowflake-Umgebungen zu beziehen, die Santander, Ticketmaster, mindestens zwei Pharmariesen, einem Lebensmittellieferdienst, einem öffentlichen Frischwasserlieferanten und anderen gehören. Wir haben auch offengelegte Benutzernamen und Passwörter gesehen, die angeblich einem ehemaligen Snowflake-Mitarbeiter gehören.
Tech nennt den Namen des ehemaligen Mitarbeiters nicht, da es keine Beweise dafür gibt, dass er etwas falsch gemacht hat. (Letztendlich liegt es sowohl in der Verantwortung von Snowflake als auch seiner Kunden, Sicherheitsrichtlinien zu implementieren und durchzusetzen, die Eindringversuche verhindern, die durch den Diebstahl von Mitarbeiteranmeldeinformationen entstehen.)
Wir haben die gestohlenen Benutzernamen und Passwörter nicht getestet, da dies gegen das Gesetz verstoßen würde. Daher ist nicht bekannt, ob die Anmeldeinformationen derzeit aktiv verwendet werden oder ob sie direkt zu Kontokompromittierungen oder Datendiebstählen geführt haben. Stattdessen haben wir versucht, die Echtheit der offengelegten Anmeldeinformationen auf andere Weise zu überprüfen. Dazu gehört die Überprüfung der einzelnen Anmeldeseiten der Snowflake-Umgebungen, die von der Infostealing-Malware offengelegt wurden und zum Zeitpunkt des Schreibens noch aktiv und online waren.
Zu den Anmeldeinformationen, die wir gesehen haben, gehören die E-Mail-Adresse (oder der Benutzername) des Mitarbeiters, sein Passwort und die eindeutige Webadresse für die Anmeldung bei der Snowflake-Umgebung seines Unternehmens. Als wir die Webadressen der Snowflake-Umgebungen überprüften – die oft aus zufälligen Buchstaben und Zahlen bestehen – stellten wir fest, dass die aufgeführten Snowflake-Kundenanmeldeseiten öffentlich zugänglich sind, auch wenn sie nicht online durchsuchbar sind.
Tech bestätigte, dass die Snowflake-Umgebungen den Unternehmen entsprechen, deren Mitarbeiter-Logins kompromittiert wurden. Dies war uns möglich, weil jede von uns überprüfte Login-Seite zwei separate Anmeldeoptionen hatte.
Eine Möglichkeit zum Anmelden basiert auf Okta, einem Single-Sign-On-Anbieter, der es Snowflake-Benutzern ermöglicht, sich mithilfe von MFA mit den Unternehmensanmeldeinformationen ihres eigenen Unternehmens anzumelden. Bei unseren Überprüfungen stellten wir fest, dass diese Snowflake-Anmeldeseiten auf die Anmeldeseiten von Live Nation (für Ticketmaster) und Santander umgeleitet wurden. Wir fanden auch einen Satz Anmeldeinformationen eines Snowflake-Mitarbeiters, dessen Okta-Anmeldeseite immer noch auf eine interne Snowflake-Anmeldeseite umleitet, die nicht mehr existiert.
Bei der anderen Anmeldeoption von Snowflake kann der Benutzer nur seinen Snowflake-Benutzernamen und sein Passwort verwenden, je nachdem, ob der Unternehmenskunde MFA für das Konto erzwingt, wie in Snowflakes eigene Supportdokumentation. Es sind offenbar diese Anmeldeinformationen, die von der Infostealing-Malware von den Computern der Mitarbeiter gestohlen wurden.
Es ist nicht klar, wann genau die Zugangsdaten der Mitarbeiter gestohlen wurden und wie lange sie bereits online waren.
Es gibt Hinweise darauf, dass die Computer mehrerer Mitarbeiter mit Zugriff auf die Snowflake-Umgebungen ihres Unternehmens zuvor durch Malware zum Stehlen von Informationen kompromittiert worden waren. Laut einer Überprüfung des Breach-Meldedienstes Have I Been Pwned wurden mehrere der Unternehmens-E-Mail-Adressen, die als Benutzernamen für den Zugriff auf Snowflake-Umgebungen verwendet wurden, in ein aktueller Datendump mit Millionen gestohlener Passwörter aus verschiedenen Telegram-Kanälen gescrapt, die zum Teilen gestohlener Passwörter genutzt werden.
Die Sprecherin von Snowflake, Danica Stanczak, wollte keine konkreten Fragen von Tech beantworten, darunter auch nicht, ob im Demokonto des Snowflake-Mitarbeiters Daten seiner Kunden gefunden wurden. In einer Erklärung teilte Snowflake mit, dass es „bestimmte Benutzerkonten sperrt, bei denen es starke Hinweise auf böswillige Aktivitäten gibt“.
Snowflake fügte hinzu: „Im Rahmen des Modells der geteilten Verantwortung von Snowflake sind die Kunden dafür verantwortlich, MFA bei ihren Benutzern durchzusetzen.“ Der Sprecher sagte, Snowflake „prüfe alle Optionen zur Aktivierung von MFA, aber wir haben zum jetzigen Zeitpunkt noch keine Pläne abgeschlossen.“
Auf eine E-Mail-Anfrage hin gab es bis Redaktionsschluss von Live Nation-Sprecherin Kaitlyn Henrich keinen Kommentar.
Santander antwortete nicht auf eine Bitte um Stellungnahme.
Fehlende MFA führte zu massiven Sicherheitsverletzungen
Die bisherige Antwort von Snowflake lässt viele Fragen unbeantwortet und offenbart eine Reihe von Unternehmen, die nicht von den Vorteilen der MFA-Sicherheit profitieren.
Klar ist, dass Snowflake zumindest einen Teil der Verantwortung dafür trägt, dass die Benutzer die Sicherheitsfunktion nicht aktivieren müssen. Die Hauptlast dafür trägt nun – gemeinsam mit seinen Kunden.
Der Datendiebstahl bei Ticketmaster betrifft angeblich über 560 Millionen Kundendatensätze, so die Cyberkriminellen, die die Daten online anpreisen. (Live Nation wollte sich nicht dazu äußern, wie viele Kunden von dem Datendiebstahl betroffen sind.) Falls sich der Diebstahl bewahrheitet, wäre dies der bisher größte Datendiebstahl bei Ticketmaster in den USA und einer der größten in der jüngeren Geschichte.
Snowflake ist das jüngste Unternehmen in einer Reihe von spektakulären Sicherheitsvorfällen und schwerwiegenden Datenschutzverletzungen, die durch das Fehlen der MFA verursacht wurden.
Im vergangenen Jahr haben Cyberkriminelle rund 6,9 Millionen Kundendaten von 23andMe-Konten gestohlen, die ohne MFA nicht geschützt waren. Das Unternehmen für Gentests – und seine Konkurrenten – haben daraufhin von den Benutzern verlangt, MFA standardmäßig zu aktivieren, um einen erneuten Angriff zu verhindern.
Und Anfang des Jahres gab der zu UnitedHealth gehörende Gesundheitstechnologieriese Change Healthcare zu, dass Hacker in seine Systeme eingebrochen waren und riesige Mengen sensibler Gesundheitsdaten aus einem System gestohlen hatten, das nicht durch MFA geschützt war. Der Gesundheitsriese hat noch nicht gesagt, wie viele Personendaten kompromittiert wurden, sagte aber, dass es wahrscheinlich einen „erheblichen Anteil der Menschen in Amerika“ betreffen wird.
Wissen Sie mehr über die Einbrüche in die Snowflake-Konten? Nehmen Sie Kontakt mit uns auf. Um diesen Reporter zu kontaktieren, kontaktieren Sie ihn über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop senden.