I problemi di sicurezza di Snowflake a seguito di una recente ondata di furti di dati dei clienti stanno, per volere di una parola migliore, crescendo a dismisura.

Dopo che Ticketmaster è stata la prima azienda a collegare il suo recente furto di dati alla società di dati cloud Snowflake, il sito di comparazione dei prestiti LendingTree ha confermato che la sua controllata QuoteWizard ha avuto dati rubati da Snowflake.

“Possiamo confermare che utilizziamo Snowflake per le nostre operazioni commerciali e che siamo stati informati da loro che la nostra controllata, QuoteWizard, potrebbe aver avuto dati interessati da questo incidente,” ha dichiarato Megan Greuling, portavoce di LendingTree, a TechCrunch.

“Consideriamo seriamente queste questioni e immediatamente dopo aver ricevuto la comunicazione da [Snowflake] abbiamo avviato un'indagine interna,” ha detto il portavoce. “Al momento, non sembra che siano stati interessati i dati finanziari dei consumatori, né le informazioni dell'entità genitrice, LendingTree,” ha aggiunto il portavoce, rifiutandosi di fare ulteriori commenti citando l'indagine in corso.

Mentre più clienti interessati si fanno avanti, Snowflake ha detto poco oltre una breve dichiarazione sul suo sito web ribadendo che non c'era stato un furto di dati dei propri sistemi, piuttosto i suoi clienti non stavano utilizzando l'autenticazione a due fattori, o MFA - una misura di sicurezza che Snowflake non impone o richiede ai suoi clienti di abilitare per impostazione predefinita. Snowflake è stata a sua volta colta di sorpresa dall'incidente, affermando che l'account “demo” di un ex dipendente è stato compromesso perché era protetto solo con un nome utente e una password.

In una dichiarazione venerdì, Snowflake ha confermato la sua posizione finora, affermando che “rimane invariata”. Citando la sua precedente dichiarazione di domenica, il chief information security officer di Snowflake Brad Jones ha dichiarato che si trattava di una “campagna mirata diretta agli utenti con autenticazione a singolo fattore” e utilizzando credenziali rubate da malware di furto di informazioni o ottenute da precedenti furti di dati.

L'assenza di MFA sembra essere il modo in cui i criminali informatici hanno scaricato enormi quantità di dati dagli ambienti dei clienti di Snowflake, che non erano protetti dal livello di sicurezza aggiuntivo.

TechCrunch ha scoperto all'inizio di questa settimana online centinaia di credenziali di clienti di Snowflake rubate da malware di furto di password che hanno infettato i computer dei dipendenti che hanno accesso all'ambiente Snowflake del loro datore di lavoro. Il numero di credenziali suggerisce che vi è ancora un rischio per i clienti di Snowflake che devono ancora cambiare le loro password o abilitare MFA.

Per tutta la settimana, TechCrunch ha inviato più di una dozzina di domande a Snowflake sull'incidente in corso che coinvolge i suoi clienti mentre continuiamo a riportare la storia. Snowflake ha declinato di rispondere alle nostre domande almeno sei volte.

Queste sono alcune delle domande che stiamo ponendo e il motivo.

Non si sa ancora quanti clienti di Snowflake sono coinvolti, o se Snowflake lo sa già.

Snowflake ha detto di aver notificato a oggi un “numero limitato di clienti di Snowflake” che l'azienda ritiene possano essere stati interessati. Sul suo sito web, Snowflake afferma di avere più di 9.800 clienti, tra cui aziende tecnologiche, società di telecomunicazioni e fornitori sanitari.

La portavoce di Snowflake Danica Stanczak si è rifiutata di dire se il numero dei clienti interessati fosse nell'ordine delle decine, delle dozzine, delle centinaia o di più.

È probabile che, nonostante la manciata di violazioni dei clienti segnalate questa settimana, siamo solo agli inizi della comprensione della portata di questo incidente.

Potrebbe non essere chiaro nemmeno a Snowflake quanti dei suoi clienti siano già stati interessati, poiché l'azienda dovrà fare affidamento sui suoi dati, come i log, o scoprire direttamente da un cliente interessato.

Non si sa quanto presto Snowflake potesse essere a conoscenza delle intrusioni nei conti dei suoi clienti. La dichiarazione di Snowflake ha affermato di essere venuta a conoscenza il 23 maggio dell'“attività minacciosa” - l'accesso agli account dei clienti e il download dei loro contenuti - ma in seguito ha trovato prove di intrusioni risalenti a un arco temporale non più specifico di metà aprile, suggerendo che l'azienda abbia alcuni dati su cui fare affidamento.

Ma questo lascia anche aperta la domanda su come mai Snowflake non ha rilevato al momento l'esfiltrazione di grandi quantità di dati dai suoi server fino a molto tempo dopo il mese di maggio, o se l'ha fatto, perché Snowflake non ha avvertito pubblicamente prima i suoi clienti.

La società di risposta agli incidenti Mandiant, chiamata da Snowflake per aiutare con la comunicazione ai suoi clienti, ha detto a Bleeping Computer alla fine di maggio che la società aveva già aiutato le organizzazioni interessate per “alcune settimane”.

Non si sa ancora cosa contenesse l'account demo dell'ex dipendente di Snowflake, o se è rilevante per i furti di dati dei clienti.

Una frase chiave dalla dichiarazione di Snowflake dice: “Abbiamo trovato prove che un attore minaccioso ha ottenuto credenziali personali e ha acceduto agli account demo appartenenti a un ex dipendente di Snowflake. Non conteneva dati sensibili.”

Alcune delle credenziali dei clienti rubate collegati a malware di furto di informazioni includono quelle appartenenti a un ex dipendente di Snowflake, secondo una revisione di TechCrunch.

Come abbiamo già notato, TechCrunch non sta nominando l'impiegato poiché non è chiaro che abbia fatto qualcosa di sbagliato. Il fatto che Snowflake sia stata sorpresa dalla propria mancanza di attuazione dell'MFA permettendo ai criminali informatici di scaricare dati da un account “demo” di un ex dipendente utilizzando solo il loro nome utente e la password mette in luce un problema fondamentale nel modello di sicurezza di Snowflake.

Tuttavia rimane poco chiaro quale ruolo, se del caso, abbia questo account demo nei furti di dati dei clienti poiché non si sa ancora quali dati fossero memorizzati all'interno, o se conteneva dati provenienti da altri clienti di Snowflake.

Snowflake ha rifiutato di dire quale ruolo, se del caso, abbia l'account demo dell'ex dipendente di Snowflake nei recenti furti di dati dei clienti. Snowflake ha confermato che l'account demo “non conteneva dati sensibili”, ma ha ripetutamente declinato di dire come l'azienda definisca ciò che considera “dati sensibili”.

Abbiamo chiesto a Snowflake se l'azienda ritiene che le informazioni personali identificabili delle persone siano dati sensibili. Snowflake ha declinato di commentare.

Non è chiaro perché Snowflake non abbia resettato proattivamente le password o richiesto e imposto l'uso di MFA negli account dei suoi clienti.

Non è insolito che le aziende forzino il reset delle password dei propri clienti a seguito di un furto di dati. Ma se lo chiedi a Snowflake, non c'è stato alcun furto. E sebbene possa essere vero nel senso che non c'è stata alcuna compromissione apparente della sua infrastruttura centrale, i clienti di Snowflake stanno subendo gravi violazioni.

Il consiglio di Snowflake ai suoi clienti è quello di resettare e ruotare le credenziali di Snowflake e imporre MFA su tutti gli account. Snowflake ha precedentemente detto a TechCrunch che i suoi clienti sono responsabili della propria sicurezza: “Nel modello di responsabilità condivisa di Snowflake, i clienti sono responsabili di imporre MFA ai propri utenti.”

Ma poiché questi furti di dati dei clienti di Snowflake sono collegati all'uso di username e password rubati di account non protetti con MFA, è insolito che Snowflake non sia intervenuto a nome dei propri clienti per proteggere i loro account con reset delle password o MFA obbligatorio.

Non è senza precedenti. L'anno scorso, i criminali informatici hanno estratto 6,9 milioni di record utente e genetici dagli account di 23andMe non protetti con MFA. 23andMe ha ripristinato le password degli utenti per cautela per evitare ulteriori attacchi di scraping e successivamente ha richiesto l'uso di MFA su tutti gli account dei suoi utenti.

Abbiamo chiesto a Snowflake se l'azienda aveva intenzione di resettare le password degli account dei suoi clienti per prevenire eventuali ulteriori intrusioni. Snowflake ha declinato di commentare.

Sembra che Snowflake stia procedendo verso l'introduzione dell'MFA per impostazione predefinita, secondo il sito di notizie tecnologiche Runtime, citando il CEO di Snowflake Sridhar Ramaswamy in un'intervista di questa settimana. Questo è stato successivamente confermato dal CISO di Snowflake Jones nell'aggiornamento di venerdì.

“Stiamo sviluppando anche un piano per richiedere ai nostri clienti di implementare controlli di sicurezza avanzati, come l'autenticazione a due fattori (MFA) o le politiche di rete, specialmente per gli account privilegiati dei clienti di Snowflake,” ha detto Jones.

Non è stata fornita una tempistica per il piano.

Sai di più sulle intrusioni negli account di Snowflake? Mettiti in contatto. Per contattare questa redazione, contatta Signal e WhatsApp al numero +1 646-755-8849, o via email. Puoi anche inviare file e documenti tramite SecureDrop.