Кража данных затронула более десятка компаний, причем облачная платформа для хранения данных Snowflake стала основной целью. Атаки произошли не в результате прямого взлома инфраструктуры Snowflake, а из-за компрометации стороннего провайдера SaaS-интеграций. Злоумышленники похитили токены аутентификации у этого интегратора, а затем использовали их в автоматизированных кампаниях для доступа к данным клиентов, хранящимся в Snowflake и других облачных сервисах. Этот инцидент подчеркивает растущий риск цепочки поставок, когда взлом у доверенного поставщика создает волновой эффект нарушений безопасности среди его клиентской базы.
Snowflake подтвердила «необычную активность», затронувшую ограниченное количество клиентских учетных записей, связанных с конкретной сторонней интеграцией. В ответ компания начала расследование, proactively заблокировала потенциально затронутые учетные записи и уведомила пострадавших клиентов, предоставив рекомендации по усилению безопасности. Что важно, Snowflake подчеркнула, что ее собственные системы не были скомпрометированы, и уязвимость в ее платформе не эксплуатировалась. Методология атаки полностью сосредоточена на неправомерном использовании законных учетных данных, похищенных у внешнего интегратора. Сообщается, что злоумышленники также безуспешно пытались использовать украденные токены для извлечения данных из Salesforce, что демонстрирует широкий потенциальный охват единичного взлома интегратора.
Эта кампания происходит на фоне тревожного роста киберугроз, сфокусированных на учетных данных. Отдельные отчеты детализируют всплеск фишинговых атак с использованием кода устройства, эксплуатацию новой уязвимости в Fortinet EMS и сложный захват пакета npm, нацеленный на разработчиков. Более того, недавнее заявление ФБР о том, что американцы потеряли рекордные 21 миллиард долларов из-за киберпреступлений в прошлом году, подчеркивает огромные финансовые ставки. Инцидент с Snowflake служит критическим напоминанием организациям о необходимости тщательно оценивать методы безопасности своих сторонних поставщиков и партнеров по интеграции, применять строгий контроль доступа и мониторинг для сервисных учетных записей и требовать многофакторную аутентификацию, где это возможно, для снижения риска кражи учетных данных.
