Rò rỉ dữ liệu Snowflake: hacker xác nhận truy cập thông qua lây nhiễm infostealer

 (hudsonrock.com)
1 điểm bởi GN⁺ 2024-06-01 | 1 bình luận | Chia sẻ qua WhatsApp
  • Vào ngày 31 tháng 5 năm 2024, công ty đám mây Snowflake đã gặp phải một vụ rò rỉ dữ liệu quy mô lớn
  • Hudson Rock xác nhận rằng hacker đã truy cập thông qua lây nhiễm infostealer
  • Hacker đã bán dữ liệu của nhiều công ty lớn, bao gồm Ticketmaster và ngân hàng Santander, trên các diễn đàn tội phạm mạng nói tiếng Nga

Phương thức tấn công

  • Hacker đã đăng nhập vào tài khoản ServiceNow của một nhân viên Snowflake bằng thông tin xác thực bị đánh cắp.
  • Chúng vượt qua OKTA để tạo session token và đánh cắp một lượng lớn dữ liệu.
  • Hacker tuyên bố khoảng 400 công ty đã bị ảnh hưởng.

Bằng chứng bổ sung

  • Hacker đã chia sẻ với các nhà nghiên cứu của Hudson Rock một tệp CSV cho thấy quyền truy cập vào máy chủ Snowflake.
  • Tệp này ghi lại hơn 2.000 instance khách hàng liên quan đến các máy chủ châu Âu của Snowflake.

Mục tiêu của hacker

  • Hacker đòi Snowflake 20 triệu USD để lấy lại dữ liệu.
  • Công ty không phản hồi.

Sự gia tăng của lây nhiễm infostealer

  • Lây nhiễm infostealer đã tăng 6000% kể từ năm 2018, trở thành một vector tấn công ban đầu chủ yếu.
  • Nó được dùng để thực hiện các cuộc tấn công mạng như ransomware, rò rỉ dữ liệu, chiếm đoạt tài khoản và hoạt động gián điệp doanh nghiệp.

Ý kiến của GN⁺

  • Tầm quan trọng của an ninh mạng: Vụ việc này cho thấy doanh nghiệp cần chú trọng hơn đến an ninh mạng. Đặc biệt, việc quản lý thông tin xác thực của nhân viên là rất quan trọng.
  • Mối đe dọa từ infostealer: Infostealer đang lan rộng rất nhanh và doanh nghiệp cần chuẩn bị biện pháp đối phó.
  • Chiến lược ứng phó: Khi xảy ra sự cố hack, cần có chiến lược phản ứng nhanh và giảm thiểu thiệt hại. Phản ứng chậm của Snowflake đã khiến thiệt hại gia tăng.
  • Đào tạo bảo mật: Cần tăng cường đào tạo bảo mật cho nhân viên để nâng cao nhận thức về quản lý thông tin xác thực và các cuộc tấn công phishing.
  • Giải pháp thay thế: Có thể cân nhắc các giải pháp lưu trữ đám mây khác cung cấp chức năng tương tự Snowflake. Ví dụ như AWS S3 hoặc Google Cloud Storage.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-01
Ý kiến trên Hacker News
  • Trong quá trình làm việc với Snowflake, một SE (kỹ sư giải pháp) đã thiết lập môi trường demo và sử dụng dữ liệu của khách hàng. Có vẻ đây là vấn đề phát sinh do khách hàng không quản lý việc hết hạn ID.
  • Tiêu đề bài viết và nội dung không khớp nhau. Có vẻ đây không phải vấn đề liên quan đến việc lộ dữ liệu khách hàng, và số lượng khách hàng thực sự bị ảnh hưởng là ít.
  • Felipe của Snowflake đã chia sẻ thông tin mới nhất về vấn đề này. Có thể xem nội dung cập nhật qua liên kết.
  • Ảnh chụp màn hình nhật ký trò chuyện khá ấn tượng. Kẻ tội phạm được cho là đang liên lạc với công ty này và tuyên bố có thể ngăn chặn vụ xâm nhập nhờ sự hỗ trợ của công ty.
  • Có vẻ hệ thống Snowflake được thiết kế theo cách cho phép mọi truy cập thông qua một tài khoản quản trị duy nhất. Điều này làm tăng độ tin cậy của các vụ việc Ticketmaster và Santander.
  • Snowflake cho rằng sự cố xảy ra do lỗi của khách hàng. Kết quả nghiên cứu nhấn mạnh rằng đây không phải do lỗ hổng hay cấu hình sai của sản phẩm Snowflake.
  • Theo phản hồi chính thức từ Snowflake, vụ việc lần này liên quan đến việc thông tin xác thực người dùng của khách hàng bị lộ. Đây không phải vấn đề của chính sản phẩm Snowflake.
  • Có ý kiến cho rằng vụ xâm nhập Ticketmaster do việc đánh cắp thông tin xác thực của nhân viên Snowflake đã ảnh hưởng đến hơn 400 công ty. Đồng thời cũng đặt câu hỏi về độ tin cậy của Hudson Rock.
  • Có giải thích rằng tác nhân đe dọa đã chiếm đoạt tài khoản ServiceNow của nhân viên Snowflake để vượt qua OKTA. Có yêu cầu giải thích vai trò và tầm quan trọng của ServiceNow.
  • Có người đặt câu hỏi về việc liệu chỉ bằng cách đánh cắp thông tin xác thực của nhân viên Snowflake mà có thể truy cập dữ liệu khách hàng hay không. Kỳ vọng về bảo mật dữ liệu của Snowflake là rất cao.