Peneliti keamanan mengatakan mereka yakin serangan siber keuangan terjadi secara “besar-besaran” karena banyak pelanggan yang menyimpan informasi perbankan mereka di raksasa penyimpanan cloud Snowflake.
Perusahaan respons insiden Mandiant, yang bekerja sama dengan Snowflake untuk menyelidiki pelanggaran data baru-baru ini, mengatakan dalam sebuah postingan pada hari Senin bahwa kedua perusahaan tersebut memberi tahu sekitar 165 pelanggan bahwa mereka mungkin telah disusupi.
Ini adalah pertama kalinya jumlah pelanggan Snowflake terungkap sejak peretasan akun dimulai pada bulan April. Snowflake belum mengomentari serangan tersebut, hanya mengatakan “sejumlah kecil” pelanggannya terkena dampaknya. Raksasa data cloud ini memiliki lebih dari 9.800 pelanggan korporat, seperti organisasi layanan kesehatan, raksasa ritel, dan beberapa perusahaan terbesar di dunia, yang menggunakan Snowflake untuk analisis data.
Sejauh ini, hanya Ticketmaster dan LendingTree yang mengonfirmasi pelanggaran data di mana data mereka yang dicuri disimpan di Snowflake. Beberapa pelanggan Snowflake lainnya mengatakan bahwa mereka sedang menyelidiki kemungkinan pencurian data dari lingkungan Snowflake mereka.
Mandiant mengatakan kampanye ancaman ini “berkelanjutan,” yang berarti jumlah pelanggan Snowflake yang melaporkan pencurian data diperkirakan akan meningkat.
Dalam postingan blognya, Mandiant mengatakan akun tersebut telah disusupi oleh UNC5537, sebuah kelompok penjahat dunia maya yang belum teridentifikasi dan menurut perusahaan keamanan tersebut termotivasi untuk menghasilkan uang. Geng tersebut, yang menurut Mandiant beranggotakan anggota di Amerika Utara dan satu anggota di Turki, mencoba memeras korban agar membayar untuk mengembalikan file mereka atau memblokir pembebasan klien mereka.
Mandiant mengkonfirmasi serangan tersebut – yang mengandalkan penggunaan “kredensial yang dicuri untuk menjangkau pelanggan Snowflake dan merilis informasi berharga” – mulai tanggal 14 April, ketika para peneliti pertama kali mengidentifikasi bukti akses yang tidak tepat ke pelanggan Snowflake. . Mandiant mengatakan pihaknya memberi tahu Snowflake tentang pelanggaran akun pelanggan pada 22 Mei.
Perusahaan keamanan mengatakan bahwa sebagian besar informasi yang dicuri yang dicuri oleh UNC5537 “berasal dari infeksi pencuri info sebelumnya,” sementara yang lain terungkap pada tahun 2020. Temuan Mandiant mengkonfirmasi pengungkapan terbatas Snowflake, yang menurutnya bukan merupakan pelanggaran langsung terhadap sistem Snowflake. . tetapi mengkritik akun pelanggannya karena tidak menggunakan otentikasi multi-faktor (MFA).
Pekan lalu, TechCrunch menemukan kredensial pelanggan Snowflake beredar online yang dicuri oleh malware yang membahayakan komputer karyawan yang dapat menggunakan situs Snowflake perusahaan mereka. Jumlah informasi yang tersedia secara online yang terkait dengan lingkungan Snowflake menunjukkan berlanjutnya kerentanan pelanggan yang belum mengubah kata sandi atau mengaktifkan MFA.
Mandiant mengatakan pihaknya juga melihat “ratusan pelanggan Snowflake terekspos melalui pencuri informasi.”
Snowflake tidak mengharuskan pelanggannya untuk menggunakan tindakan keamanan acak atau paksa. Dalam pernyataan singkatnya pada hari Jumat, Snowflake mengatakan pihaknya sedang “mengembangkan rencana” untuk menerapkan MFA pada akun pelanggannya, namun tidak memberikan batas waktu.
Juru bicara Snowflake Danica Stanczak menolak mengatakan mengapa perusahaan tidak mengatur ulang kata sandi pelanggan atau menerapkan MFA. Snowflake tidak mengomentari postingan blog Mandiant pada hari Senin.
Apakah Anda tahu lebih banyak tentang peretasan akun Snowflake? Hubungi satu sama lain. Untuk menghubungi reporter ini, hubungi Signal melalui WhatsApp di +1 646-755-8849, atau melalui email. Anda juga dapat mengirim file dan dokumen melalui SecureDrop.
