Apa yang Snowflake tidak laporkan tentang pelanggaran kepada pelanggannya

Kekhawatiran keamanan Snowflake setelah lonjakan pencurian data pelanggan baru-baru ini, karena tidak ada kata yang lebih baik, semakin meningkat.

Setelah Ticketmaster menjadi perusahaan pertama yang mengaitkan pelanggaran data terbaru dengan perusahaan data cloud Snowflake, situs perbandingan pinjaman LendingTree kini mengonfirmasi bahwa data perusahaan QuoteWizard miliknya dicuri dari Snowflake.

“Kami dapat mengonfirmasi bahwa kami menggunakan Snowflake dalam bisnis kami, dan kami diberitahu bahwa perusahaan kami, QuoteWizard, mungkin terkena dampak insiden tersebut,” Megan Greuling, juru bicara LendingTree, mengatakan kepada TechCrunch.

“Kami menangani masalah ini dengan sangat serius, dan segera setelah kami mendengar kabar dari (Snowflake) kami meluncurkan penyelidikan internal,” katanya. “Saat ini, tampaknya informasi akun pelanggan tidak terpengaruh, atau informasi tentang organisasi induk, LendingTree,” tambah juru bicara tersebut, menolak berkomentar dengan alasan penyelidikan yang sedang berlangsung.

Pelanggan yang paling terkena dampak datang, Snowflake hanya mengatakan pernyataan singkat di situs webnya yang menegaskan bahwa tidak ada pelanggaran data pada sistemnya, faktanya pelanggannya tidak menggunakan otentikasi multi-faktor, atau MFA – metode keamanan yang dilakukan Snowflake. tidak memaksakan atau mengharuskan pelanggan untuk melakukannya. Snowflake juga terlibat dalam insiden tersebut, mengatakan bahwa akun “demo” mantan karyawan telah disusupi karena dilindungi oleh nama pengguna dan kata sandi.

Dalam sebuah pernyataan pada hari Jumat, Snowflake berpegang teguh pada tanggapannya sejauh ini, dengan mengatakan posisinya “tidak dapat diubah.” Dalam pernyataan pertamanya pada hari Minggu, kepala keamanan Snowflake Brad Jones mengatakan bahwa ini adalah “kampanye yang menargetkan pengguna dengan otentikasi satu faktor” dan menggunakan informasi yang dicuri dari malware atau diperoleh dari pelanggaran data sebelumnya.

Kurangnya MFA dipandang sebagai cara bagi penjahat dunia maya untuk mengunduh data dalam jumlah besar dari area pelanggan Snowflake, yang tidak dilindungi oleh langkah-langkah keamanan tambahan.

TechCrunch awal pekan ini menemukan data pelanggan Snowflake online yang dicuri oleh malware yang membahayakan komputer karyawan yang dapat menggunakan situs Snowflake perusahaan mereka. Banyaknya informasi tersebut menunjukkan bahwa terdapat risiko bagi pelanggan Snowflake yang belum mengubah kata sandi atau mengaktifkan MFA.

Sepanjang minggu ini, TechCrunch telah mengirimkan lebih dari selusin pertanyaan ke Snowflake tentang perkembangan yang memengaruhi pelanggannya sementara kami terus melaporkan masalah tersebut. Snowflake menolak menjawab pertanyaan kami sekitar enam kali.

Ini adalah beberapa pertanyaan yang kami ajukan, dan alasannya.

Belum diketahui berapa banyak pelanggan Snowflake yang terkena dampaknya, atau apakah Snowflake masih menyadarinya.

Snowflake mengatakan sejauh ini pihaknya telah memberi tahu “sejumlah kecil pelanggan Snowflake” yang diyakini perusahaan akan terkena dampaknya. Di situs webnya, Snowflake menyatakan memiliki lebih dari 9.800 pelanggan, termasuk perusahaan teknologi, perusahaan telekomunikasi, dan penyedia layanan kesehatan.

Baca juga:  Apple Podcasts diluncurkan secara online

Juru bicara Snowflake Danica Stanczak menolak mengatakan apakah pelanggan yang terkena dampak berjumlah puluhan, puluhan, ratusan, atau lebih.

Tampaknya, meskipun terdapat sejumlah kecil pelanggaran pelanggan pada minggu ini, kami baru mulai memahami skala dari apa yang terjadi.

Snowflake bahkan tidak mengetahui dengan jelas berapa banyak pelanggan yang masih terkena dampaknya, karena perusahaan harus mengandalkan datanya sendiri, seperti log, atau memperolehnya langsung dari pelanggan yang terkena dampak.

Tidak jelas seberapa cepat Snowflake mengetahui tentang peretasan akun pelanggannya. Pernyataan Snowflake mengatakan bahwa mereka menyadari pada tanggal 23 Mei tentang “bahaya” – akses ke akun pelanggan dan pengunduhan konten – tetapi kemudian menemukan bukti penyusupan dari waktu yang tidak lebih diketahui daripada pertengahan April, dan mengindikasikan perusahaan. berisi data dependen.

Namun hal ini juga menyisakan pertanyaan mengapa Snowflake tidak memperhatikan pada saat rilis begitu banyak data pelanggan dari servernya hingga akhir Mei, atau jika demikian, mengapa Snowflake tidak memberi tahu pelanggannya lebih awal.

Mandiant, perusahaan yang diminta Snowflake untuk membantu pelanggannya, mengatakan kepada Bleeping Computer pada akhir Mei bahwa perusahaan tersebut telah mendukung organisasi yang terkena dampak “selama beberapa minggu.”

Kami masih belum tahu apa yang ada di akun demo mantan karyawan Snowflake tersebut, atau apakah itu terkait dengan pelanggaran data pelanggan.

Kalimat kunci dari pernyataan Snowflake berbunyi: “Kami menemukan bukti bahwa penyerang memperoleh kredensial dan akses ke akun demo milik mantan karyawan Snowflake. Akun tersebut tidak berisi data sensitif.”

Beberapa informasi pelanggan yang dicuri terkait dengan malware pencuri data termasuk informasi milik karyawan Snowflake, menurut ulasan TechCrunch.

Seperti diberitakan sebelumnya, TechCrunch tidak menyebutkan nama karyawan tersebut karena tidak diketahui apakah dia melakukan kesalahan. Fakta bahwa Snowflake dikenal karena kurangnya kemampuan MFA yang memungkinkan penjahat dunia maya mengunduh data dari akun “demo” karyawan menggunakan nama pengguna dan kata sandi mereka menunjukkan kelemahan serius dalam keamanan Snowflake.

Namun tidak jelas peran apa, jika ada, akun demo ini dalam mencuri data pelanggan karena tidak jelas data apa yang disimpan di dalamnya, atau apakah data tersebut berisi data dari pelanggan Snowflake lainnya.

Snowflake menolak untuk mengatakan bagian mana, jika ada, dari akun demo karyawan Snowflake pada saat itu yang berisi pelanggaran pelanggan terbaru. Snowflake mengatakan akun demo tersebut “tidak berisi informasi sensitif,” namun berulang kali menolak untuk mengatakan bagaimana perusahaan mendefinisikan apa yang dianggapnya sebagai “informasi rahasia”.

Kami bertanya apakah Snowflake percaya bahwa identitas seseorang terlalu rumit. Kepingan salju menolak berkomentar.

Baca juga:  R1 Rabbit memperbaiki obrolan dan pengaturan waktu, tetapi menggunakan aplikasi 'model' masih MIA.

Tidak jelas mengapa Snowflake tidak mengatur ulang kata sandi, atau mengharuskan dan menerapkan penggunaan MFA untuk akun pelanggannya.

Bukan hal yang aneh bagi perusahaan untuk memaksa pengaturan ulang kata sandi bagi pelanggannya setelah terjadi pelanggaran data. Tapi kalau tanya Snowflake, tidak ada pelanggaran. Meskipun hal ini mungkin benar karena tidak ada gangguan terhadap bisnis intinya, basis pelanggan Snowflake sangat terancam.

Saran Snowflake kepada pelanggannya adalah menyetel ulang dan memperbarui kredensial Snowflake serta menyiapkan MFA untuk semua akun. Snowflake sebelumnya mengatakan kepada TechCrunch bahwa pelanggannya berisiko terhadap keamanan: “Dalam model bersama Snowflake, pelanggan bertanggung jawab untuk menerapkan MFA kepada penggunanya.”

Namun karena pencurian data pelanggan Snowflake terkait dengan penggunaan nama pengguna dan kata sandi yang dicuri untuk akun yang tidak dilindungi oleh MFA, jarang sekali Snowflake tidak melakukan intervensi atas nama pelanggannya untuk melindungi akun mereka dan mengatur ulang kata sandi atau menegakkan MFA. .

Itu belum pernah terjadi. Tahun lalu, penjahat dunia maya menghapus 6,9 juta profil pengguna dan kata sandi dari akun 23andMe yang tidak dilindungi oleh MFA. 23andMe juga mengubah kata sandi pengguna dengan hati-hati untuk mencegah masalah lebih lanjut, dan kemudian mewajibkan MFA untuk semua akunnya.

Kami bertanya kepada Snowflake apakah perusahaan berencana menyetel ulang kata sandi akun pelanggan untuk mencegah gangguan lebih lanjut. Kepingan salju menolak berkomentar.

Snowflake tampaknya semakin dekat untuk meluncurkan MFA secara default, menurut situs teknologi Runtime, mengutip CEO Snowflake Sridhar Ramaswamy dalam sebuah wawancara minggu ini. Hal ini kemudian dikonfirmasi oleh CISO Jones dari Snowflake dalam pembaruan hari Jumat.

“Kami juga mengembangkan rencana untuk mewajibkan pelanggan kami menggunakan kontrol keamanan, seperti otentikasi multi-faktor (MFA) atau kebijakan online, terutama untuk akun hak istimewa Snowflake,” kata Jones.

Kerangka waktu untuk pesanan tidak diberikan.


Apakah Anda tahu lebih banyak tentang peretasan akun Snowflake? Hubungi satu sama lain. Untuk menghubungi reporter ini, hubungi Signal dan WhatsApp di +1 646-755-8849, atau melalui email. Anda juga dapat mengirim file dan dokumen melalui SecureDrop.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *