Platform analisis data cloud Snowflake mengumumkan bahwa mereka akan menerapkan autentikasi multifaktor mengikuti salah satu hal berikut pelanggaran data terbesar pada catatan.
Keputusan ini dipicu oleh pelanggaran yang diketahui bulan lalu oleh analis Hudson Rock, yang melibatkan pencurian data besar-besaran dari Ticketmaster, bank Spanyol Santander, dan kemungkinan ratusan juta file dari Advance Auto Parts—semuanya adalah klien Snowflake.
Snowflake, sebuah platform yang menampung kumpulan data besar-besaran untuk perusahaan, mengungkapkan bahwa peretas telah menggunakan kredensial curian untuk mencoba menyusup ke akun pelanggannya.
Meskipun Snowflake meluncurkan tindakan hukum terhadap Hudson Rock, memaksa mereka untuk melakukannya menarik Dalam laporan mereka, perusahaan mengakui bahwa mereka sedang menyelidiki “kampanye ancaman yang ditargetkan terhadap beberapa akun pelanggan Snowflake.” Pada saat yang sama, TechCrunch.dll melaporkan penemuan kumpulan kata sandi pelanggan Snowflake secara online, tersedia untuk peretas. Snowflake pada awalnya memberi isyarat bahwa hanya sejumlah akun pelanggan “terbatas” yang disusupi.
Namun, outlet berita melaporkan bahwa anak perusahaan LendingTree, QuoteWizard, juga mengalami pelanggaran data di Snowflake. “Kami dapat mengonfirmasi bahwa kami menggunakan Snowflake untuk operasi bisnis kami, dan kami diberitahu oleh mereka bahwa anak perusahaan kami, QuoteWizard, mungkin memiliki data yang terkena dampak insiden ini,” kata juru bicara.
Pelanggaran data dilaporkan di BreachForums
Sebagian besar drama yang melibatkan Snowflake terjadi di BreachForums, pasar kejahatan dunia maya yang terkenal. Situs ini ditutup oleh FBI pada pertengahan Mei, hanya untuk digantikan oleh versi baru. Iterasi ini diduga dikelola oleh kelompok peretas ShinyHunters, yang mengklaim mereka memperdagangkan 560 juta rekaman dari Ticketmaster dan 30 juta dari Santander.
Kedua organisasi telah mengakui pelanggaran data ini. Pemilik tiket secara khusus mengaitkan pelanggarannya dengan Snowflake Santander telah melaporkan akses tidak sah ke database yang dikelola oleh penyedia pihak ketiga, tanpa mengonfirmasi tingkat pelanggarannya.
Baru-baru ini, grup BreachForums dengan nama pengguna Sp1d3r menemukan dua perusahaan tambahan yang terkena dampak insiden Snowflake. Menurut Sp1d3r, mereka memiliki data senilai 3TB untuk 380 juta pelanggan dari Advance Auto Parts dan informasi mengenai 190 juta pelanggan dari perusahaan jasa keuangan LendingTree dan anak perusahaannya QuoteWizard. BleepingComputer telah memverifikasi data pelanggan terkait Advance Auto Parts.
🚨PEMBARUAN: Sp1d3r mengklaim telah mencuri 3TB data dari @ AdvanceAutoParts melalui pelanggaran Snowflake. Diduga mencakup 380 juta profil pelanggan, 140 juta catatan pesanan, dan banyak lagi. Data dijual seharga $1,5 juta. #Pelanggaran Data #Keamanan cyber #Kepingan salju pic.twitter.com/DeSqRPnBTP
— SOCRadar® (@socradar) 6 Juni 2024
Juru bicara LendingTree berkata, “Kami menangani masalah ini dengan serius, dan segera setelah mendengarnya [Snowflake] meluncurkan penyelidikan internal.” Mereka menambahkan, “Sampai saat ini, tampaknya informasi rekening keuangan konsumen tidak terpengaruh, maupun informasi entitas induk, LendingTree.”
Snowflake mengungkap detail tentang pelaku ancaman
Setelah mengetahui bahwa akun-akun tersebut menjadi sasaran, Snowflake memberikan informasi lebih lanjut mengenai kejadian tersebut. Brad Jones, kepala petugas keamanan informasi di Snowflake, menjelaskan dalam a pos bahwa pelaku ancaman menggunakan detail login yang telah “dibeli atau diperoleh melalui malware pencuri informasi,” yang dirancang untuk mengambil nama pengguna dan kata sandi dari perangkat yang telah disusupi. Dia menggambarkan insiden tersebut sebagai “kampanye yang ditargetkan yang ditujukan pada pengguna dengan otentikasi satu faktor.”
Dalam postingan yang sama, Jones menyebutkan bahwa Snowflake, dengan bantuan perusahaan keamanan siber CrowdStrike dan Mandiant, tidak menemukan bukti bahwa serangan itu “disebabkan oleh kredensial yang dikompromikan dari personel Snowflake saat ini atau mantan.” Namun, dia mencatat bahwa akun demo mantan karyawannya diakses tetapi menyatakan bahwa akun tersebut “tidak berisi data sensitif.”
Secara terpisah postingan blog oleh Mandiant, perusahaan tersebut menegaskan kembali: “Investigasi Mandiant belum menemukan bukti apa pun yang menunjukkan bahwa akses tidak sah ke akun pelanggan Snowflake berasal dari pelanggaran lingkungan perusahaan Snowflake.” Namun, mereka menambahkan bahwa setiap insiden yang ditanggapi terkait dengan kampanye tersebut “ditelusuri kembali ke kredensial pelanggan yang dikompromikan.” ReadWrite menghubungi Snowflake, namun perusahaan tersebut mengarahkan kami ke postingan Jones untuk informasi lebih lanjut.
Selain itu, Badan Keamanan Siber dan Infrastruktur AS telah mengeluarkan peringatan tentang insiden Kepingan Salju. Hal serupa juga dilakukan oleh Pusat Keamanan Siber Australia diterima menjadi “sadar akan keberhasilan kompromi beberapa perusahaan yang memanfaatkan lingkungan Snowflake.”
ReadWrite telah menghubungi Snowflake dan Live Nation untuk memberikan komentar.
Gambar unggulan: Ideogram
