Die Sicherheitsprobleme von Snowflake nehmen nach einer jüngsten Welle von Diebstählen von Kundendaten, in Ermangelung eines besseren Wortes, immer mehr zu.
Ticketmaster war das erste Unternehmen, das seinen jüngsten Datendiebstahl mit dem Cloud-Datenunternehmen Snowflake in Verbindung brachte. Nun bestätigte auch die Kreditvergleichsseite LendingTree, dass von ihrer Tochtergesellschaft QuoteWizard Daten von Snowflake gestohlen wurden.
„Wir können bestätigen, dass wir Snowflake für unsere Geschäftsabläufe verwenden und dass wir von ihnen benachrichtigt wurden, dass die Daten unserer Tochtergesellschaft QuoteWizard von diesem Vorfall betroffen sein könnten“, sagte Megan Greuling, eine Sprecherin von LendingTree, gegenüber Tech.
„Wir nehmen diese Angelegenheiten ernst und sofort nach der Anhörung von [Snowflake] eine interne Untersuchung eingeleitet“, sagte der Sprecher. „Zum jetzigen Zeitpunkt sieht es nicht so aus, als seien die Informationen zu den Finanzkonten der Kunden betroffen, noch Informationen der Muttergesellschaft LendingTree“, fügte der Sprecher hinzu und lehnte es ab, weitere Kommentare abzugeben, da die Untersuchung noch liefe.
Während sich immer mehr betroffene Kunden melden, hat Snowflake wenig gesagt über eine kurze Stellungnahme auf der Website hinaus Er bekräftigte, dass es sich nicht um einen Datendiebstahl in den eigenen Systemen gehandelt habe, sondern dass die Kunden keine Multi-Faktor-Authentifizierung (MFA) verwendet hätten – eine Sicherheitsmaßnahme, die Snowflake nicht erzwingt und deren Aktivierung seine Kunden nicht standardmäßig verlangen. Snowflake war selbst von dem Vorfall betroffen und gab an, dass das „Demo“-Konto eines ehemaligen Mitarbeiters kompromittiert worden sei, weil es nur mit einem Benutzernamen und einem Passwort geschützt war.
In einer Erklärung vom Freitag beharrte Snowflake auf seiner bisherigen Reaktion und erklärte, seine Position „bleibt unverändert“. Unter Berufung auf seine frühere Erklärung vom Sonntag sagte Brad Jones, Chief Information Security Officer von Snowflake, dass dies eine „gezielte Kampagne gegen Benutzer mit Ein-Faktor-Authentifizierung“ sei und dass Anmeldeinformationen verwendet würden, die von Malware gestohlen oder durch frühere Datenlecks erlangt wurden.
Das Fehlen von MFA scheint der Grund dafür zu sein, dass Cyberkriminelle riesige Datenmengen aus den Umgebungen von Snowflake-Kunden heruntergeladen haben, die nicht durch die zusätzliche Sicherheitsebene geschützt waren.
Tech hat Anfang dieser Woche im Internet Hunderte von Snowflake-Kundendaten gefunden, die von einer Passwort stehlenden Malware gestohlen wurden. Die Malware infizierte die Computer von Mitarbeitern, die Zugriff auf die Snowflake-Umgebung ihres Arbeitgebers haben. Die Anzahl der Daten lässt darauf schließen, dass für Snowflake-Kunden, die ihre Passwörter noch nicht geändert oder MFA aktiviert haben, weiterhin ein Risiko besteht.
Im Laufe der Woche hat Tech über ein Dutzend Fragen an Snowflake zu dem anhaltenden Vorfall geschickt, der seine Kunden betrifft, während wir weiterhin über die Geschichte berichten. Snowflake hat es mindestens sechs Mal abgelehnt, unsere Fragen zu beantworten.
Dies sind einige der Fragen, die wir stellen, und warum.
Es ist noch nicht bekannt, wie viele Snowflake-Kunden betroffen sind oder ob Snowflake bereits Bescheid weiß.
Snowflake sagte, es habe bisher eine „begrenzte Anzahl von Snowflake-Kunden“ benachrichtigt, von denen das Unternehmen glaubt, dass sie betroffen sein könnten. Auf seiner Website gibt Snowflake an, dass es mehr als 9.800 Kunden hat, darunter Technologieunternehmen, Telekommunikationsunternehmen und Gesundheitsdienstleister.
Die Sprecherin von Snowflake, Danica Stanczak, wollte keine Aussage darüber machen, ob die Zahl der betroffenen Kunden im Zehner-, Dutzender-, Hunderter- oder noch höher liegt.
Es ist wahrscheinlich, dass wir trotz der wenigen gemeldeten Kundendatenschutzverletzungen in dieser Woche erst am Anfang stehen, was das Ausmaß dieses Vorfalls angeht.
Möglicherweise ist selbst Snowflake nicht klar, wie viele seiner Kunden bereits betroffen sind, da sich das Unternehmen entweder auf seine eigenen Daten, etwa Protokolle, verlassen oder dies direkt von einem betroffenen Kunden erfahren muss.
Es ist nicht bekannt, wie schnell Snowflake von den Einbrüchen in die Konten seiner Kunden erfahren haben könnte. Snowflakes Erklärung besagt, dass das Unternehmen am 23. Mai von der „Bedrohungsaktivität“ – dem Zugriff auf Kundenkonten und dem Herunterladen ihrer Inhalte – Kenntnis erlangte, später jedoch Beweise für Einbrüche fand, die bis zu einem nicht genauer zu bestimmenden Zeitraum als Mitte April zurückreichten. Dies deutet darauf hin, dass das Unternehmen über einige Daten verfügt, auf die es sich stützen kann.
Damit bleibt allerdings auch die Frage offen, warum Snowflake die Exfiltration großer Mengen von Kundendaten von seinen Servern erst viel später im Mai bemerkte, und falls ja, warum Snowflake seine Kunden nicht früher öffentlich darauf aufmerksam gemacht hat.
Das Incident-Response-Unternehmen Mandiant, das Snowflake zur Unterstützung bei der Kontaktaufnahme mit seinen Kunden hinzuzog, sagte Bleeping Computer Ende Mai dass das Unternehmen betroffenen Organisationen bereits seit „mehreren Wochen“ helfe.
Wir wissen immer noch nicht, was sich auf dem Demokonto des ehemaligen Snowflake-Mitarbeiters befand oder ob es für die Verstöße gegen Kundendaten relevant ist.
Eine zentrale Aussage aus Snowflakes Stellungnahme lautet: „Wir haben Beweise dafür gefunden, dass ein Bedrohungsakteur persönliche Zugangsdaten zu Demokonten eines ehemaligen Snowflake-Mitarbeiters erhalten und darauf zugegriffen hat. Die Konten enthielten keine vertraulichen Daten.“
Zu den gestohlenen Kundendaten, die mit informationsstehlender Schadsoftware in Verbindung stehen, zählen laut einer Überprüfung durch Tech auch die Daten eines damaligen Snowflake-Mitarbeiters.
Wie wir bereits erwähnt haben, nennt Tech den Namen des Mitarbeiters nicht, da nicht klar ist, ob er etwas falsch gemacht hat. Die Tatsache, dass Snowflake selbst durch seine mangelnde MFA-Durchsetzung aufgefallen ist und Cyberkriminelle Daten vom „Demo“-Konto eines damaligen Mitarbeiters nur mit dessen Benutzernamen und Passwort herunterladen konnten, verdeutlicht ein grundlegendes Problem im Sicherheitsmodell von Snowflake.
Es bleibt jedoch unklar, welche Rolle dieses Demokonto bei dem Diebstahl von Kundendaten spielt, wenn überhaupt, da noch nicht bekannt ist, welche Daten darauf gespeichert waren oder ob es Daten von anderen Kunden von Snowflake enthielt.
Snowflake wollte nicht sagen, welche Rolle, wenn überhaupt, das Demokonto des damaligen Snowflake-Mitarbeiters bei den jüngsten Kundendatenlecks gespielt hat. Snowflake bekräftigte, dass das Demokonto „keine sensiblen Daten enthielt“, wollte aber nicht sagen, was das Unternehmen als „sensible Daten“ definiert.
Auf unsere Frage, ob Snowflake der Ansicht ist, dass personenbezogene Daten von Einzelpersonen vertrauliche Daten sind, lehnte Snowflake eine Stellungnahme ab.
Es ist unklar, warum Snowflake Passwörter nicht proaktiv zurücksetzt oder die Verwendung von MFA für die Konten seiner Kunden verlangt und erzwungen hat.
Es ist nicht ungewöhnlich, dass Unternehmen nach einem Datendiebstahl die Passwörter ihrer Kunden zwangsweise zurücksetzen. Aber wenn man Snowflake fragt, hat es keinen Datendiebstahl gegeben. Und obwohl das insofern stimmen mag, als dass die zentrale Infrastruktur von Snowflake offensichtlich nicht kompromittiert wurde, sind die Kunden von Snowflake sehr oft Opfer von Datendiebstählen.
Schneeflocke Beratung seiner Kunden besteht darin, die Snowflake-Anmeldeinformationen zurückzusetzen und zu rotieren und MFA auf allen Konten durchzusetzen. Snowflake teilte Tech zuvor mit, dass seine Kunden für ihre eigene Sicherheit verantwortlich seien: „Im Rahmen des Modells der geteilten Verantwortung von Snowflake sind die Kunden dafür verantwortlich, MFA bei ihren Benutzern durchzusetzen.“
Da diese Diebstähle von Snowflake-Kundendaten jedoch mit der Verwendung gestohlener Benutzernamen und Passwörter von Konten in Verbindung stehen, die nicht durch MFA geschützt sind, ist es ungewöhnlich, dass Snowflake nicht im Namen seiner Kunden eingegriffen hat, um deren Konten durch Passwortzurücksetzungen oder erzwungene MFA zu schützen.
Das ist kein beispielloser Vorfall. Im vergangenen Jahr haben Cyberkriminelle 6,9 Millionen Benutzer- und Gendaten von 23andMe-Konten gestohlen, die nicht mit MFA geschützt waren. 23andMe hat aus Vorsicht die Passwörter der Benutzer zurückgesetzt, um weitere Scraping-Angriffe zu verhindern, und verlangte anschließend die Verwendung von MFA für alle Benutzerkonten.
Wir fragten Snowflake, ob das Unternehmen vorhabe, die Passwörter der Konten seiner Kunden zurückzusetzen, um mögliche weitere Eindringlinge zu verhindern. Snowflake lehnte einen Kommentar dazu ab.
Snowflake scheint auf die Einführung von MFA als Standard hinzuarbeiten, laut Tech-News-Site Runtimezitierte Snowflake-CEO Sridhar Ramaswamy in einem Interview diese Woche. Dies wurde später von Snowflakes CISO Jones im Freitagsupdate bestätigt.
„Wir entwickeln außerdem einen Plan, der von unseren Kunden die Implementierung erweiterter Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA) oder Netzwerkrichtlinien verlangt, insbesondere für privilegierte Snowflake-Kundenkonten“, sagte Jones.
Ein Zeitrahmen für den Plan wurde nicht angegeben.
Wissen Sie mehr über die Einbrüche in die Snowflake-Konten? Nehmen Sie Kontakt mit uns auf. Um diesen Reporter zu kontaktieren, kontaktieren Sie ihn über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop senden.