Le spécialiste du stockage dans le cloud Snowflake contraint ses clients d’utiliser une multi-factor authentication (MFA), alors qu’il examine s’il est lui-même à l’origine du fait que plusieurs de ses clients ont subi des fuites de données au cours des dernières semaines. Snowflake nuance cependant cette éventuelle responsabilité.
Les pièces du puzzle chez Snowflake ne sont pas encore toutes découvertes, mais il semble qu’un certain nombre de piratages majeurs dans diverses entreprises peuvent tous être attribués à leurs comptes chez Snowflake. La firme stocke en effet de grands ensembles de données clients et se retrouve donc sur une montagne d’onformations sensibles.
Ticketmaster
On a commencé à avoir la puce à l’oreille, après que Ticketmaster ait annoncé en mai que des adresses e-mail, des numéros de téléphone et des données des cartes de crédit de 560 millions de clients avaient été divulguées, après que le groupe de hackers ShinyHunters en ait publié des preuves dans le web clandestin. La banque espagnole Santander a du reste également été la victime d’un piratage avec fuite de données.
À peu près au même moment, des spécialistes de la sécurité d’Hudson Rock ont publié un rapport dans lequel ils critiquaient fortement Snowflake, en indiquant que la source du piratage chez Ticketmaster se trouvait chez Snowflake, et non chez le compte d’un de ses clients. Les données d’un employé de Snowflake auraient été dérobées via un malware en octobre.
Ces informations ont ensuite été utilisées pour se connecter au compte ServiceNow de ce client, afin de contourner le système de gestion des accès existant de Snowflake. Une fois à l’intérieur, les pirates de ShinyHunters ont pu générer des jetons de session pour télécharger les données des clients, affectant potentiellement jusqu’à 400 d’entre eux. Ce nombre provient d’un entretien qu’Hudson Rock a eu avec les pirates.
Snowflake nie, mais…
Snowflake n’était, pour le moins, pas ravie de ce rapport. Elle a fermement nié les faits. S’il y a déjà eu des intrusions chez Snowflake, c’était via des comptes clients individuels, dont les connexions ont été obtenues par d’autres moyens. L’entreprise a donc menacé de poursuivre Hudson Rock en justice et a exigé qu’elle retire le rapport. Entre-temps, Snowflake a reconnu qu’une campagne ciblée contre ses comptes clients était en cours.
Même si Snowflake parlait initialement d’un ‘nombre limité’ de comptes auxquels les pirates avaient eu accès, des données volées à d’autres entreprises ont désormais été proposées en ligne. Selon le fournisseur – le groupe ShinyHunters -, ces données provenaient de comptes chez Snowflake. Plus tard, Techcrunch a également découvert que des centaines de mots de passe de clients pouvaient être trouvés en ligne.
Entre-temps, sur un forum où des données avaient précédemment été proposées, on a vu aussi apparaître des données de la firme américaine de pièces détachées Advance Auto Parts ainsi que du prêteur LendingTree et de sa filiale Quotewizzard. Tant Wired que BleepingComputer signalent que les adresses e-mail contenues dans les exemples de données sont exactes.
Authentification multi-facteur
A présent, le ton a quelque peu changé. L’entreprise continue de nier avoir été directement attaquée, selon The Register. Le site sait également que l’entreprise a désormais imposé la MFA (multi factor authentication) sur tous les comptes qui n’en disposaient pas déjà. Il était auparavant conseillé aux clients de le faire. Ce sont des comptes sans MFA qui ont été piratés jusqu’à présent.
Snowflake affirme qu’il n’y a aucune indication que les données des employés ont été compromises, comme le prétend Hudson Rock, mais elle pense que des données de connexion d’employés ont été dérobées via des logiciels malveillants ou parce qu’elles ont été revendues. Snowflake reconnaît également que quelqu’un a pu obtenir les données de connexion d’un ancien employeur, mais que celles-ci ne donnaient accès qu’à des comptes de démonstration. On ignore encore quelle sera l’issue de cette affaire, mais depuis la semaine dernière, Snowflake semble avoir pris conscience que la cause du problème est davantage susceptible de se trouver en son sein. Pour se protéger au mieux, tout client de l’entreprise a donc intérêt à doter tous ses comptes d’une procédure de connexion supplémentaire.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici