Um ataque cibernético de alto nível visando contas da Snowflake expôs dados sensíveis de empresas de alto perfil como a Ticketmaster, Santander e LendingTree. Os hackers afirmam ter obtido acesso aos sistemas por meio de credenciais comprometidas de um funcionário de uma empresa terceirizada belarussa, a EPAM Systems.
Resumo dos Principais Pontos
- Hackers roubaram terabytes de dados das contas da Snowflake de empresas como Ticketmaster, Santander e LendingTree.
- Alegam ter obtido acesso por meio de credenciais comprometidas de um funcionário da empresa terceirizada EPAM Systems.
- A falta de autenticação multifator nos sistemas facilitou o acesso não autorizado, segundo especialistas em segurança.
O escândalo de violação de dados envolvendo a Snowflake, uma importante empresa de armazenamento e análise de dados na nuvem, trouxe à tona questões cruciais sobre segurança cibernética e a necessidade de proteções robustas, mesmo para empresas aparentemente bem-estabelecidas.
O Papel da EPAM Systems no Incidente
De acordo com um dos hackers envolvidos no ataque, conhecidos como ShinyHunters, o ponto de entrada para o roubo de dados foi um funcionário da EPAM Systems, uma empresa de serviços de software sediada em Belarus. O computador desse funcionário, localizado na Ucrânia, foi comprometido por um malware de roubo de informações implantado por meio de um ataque de phishing direcionado.
Uma vez dentro do sistema do funcionário, os hackers afirmam ter encontrado credenciais não criptografadas que o trabalhador usava para acessar e gerenciar as contas da Snowflake de clientes da EPAM, incluindo a Ticketmaster. Essas credenciais estavam armazenadas em uma ferramenta de gerenciamento de projetos chamada Jira.
Falha na Autenticação Multifator
O que facilitou o acesso não autorizado às contas da Snowflake foi a falta de autenticação multifator (MFA) nessas contas, de acordo com os especialistas em segurança cibernética. A MFA exige que os usuários insiram um código temporário além do nome de usuário e senha, tornando as contas que a utilizam mais seguras.
O CISO da Snowflake, Brad Jones, reconheceu que a ausência de MFA possibilitou as violações. A empresa está trabalhando para permitir que seus clientes exijam a MFA para acessar suas contas e, eventualmente, torná-la padrão.
Dados Roubados e Extorsão
Embora a EPAM negue seu envolvimento no incidente, é um fato que dados foram roubados das contas da Snowflake, incluindo a da Ticketmaster, Santander e LendingTree. Os hackers extorquiram as vítimas, exigindo centenas de milhares de dólares, ou até milhões, para destruir os dados ou evitar que eles sejam vendidos em outros lugares.
O Risco das Empresas Terceirizadas
O caso da Snowflake destaca os crescentes riscos de segurança representados por empresas terceirizadas, também conhecidas como empresas de terceirização de processos de negócios (BPO, na sigla em inglês). Essas empresas muitas vezes têm acesso aos sistemas de vários clientes, e um único laptop comprometido pode dar aos criminosos cibernéticos acesso a várias organizações.
A empresa de segurança Mandiant, contratada pela Snowflake para investigar as violações, observou que “laptops pessoais e/ou não monitorados dessas empresas terceirizadas agravam esse vetor de entrada inicial” para os hackers.
Posts que você deverá gostar:
O Perigo dos Malwares de Roubo de Informações
Outro fator destacado pelos especialistas em segurança é o crescente risco representado pelos malwares de roubo de informações (infostealers). Segundo a Mandiant, a maioria das credenciais usadas pelos hackers na campanha da Snowflake veio de repositórios de dados roubados anteriormente por várias campanhas de infostealers, algumas datadas desde 2020.
Esses malwares roubam credenciais de login, que muitas vezes são postadas online ou vendidas em fóruns de hackers. Se as vítimas não alterarem suas credenciais após uma violação, ou não souberem que seus dados foram roubados, essas credenciais podem permanecer ativas e disponíveis por anos.
Repercussões e Impacto
O incidente da Snowflake teve grandes repercussões para empresas de alto perfil, como a Ticketmaster, cujos dados de 560 milhões de consumidores foram roubados, segundo os hackers. O banco Santander também confirmou que seus dados foram comprometidos, incluindo informações de 30 milhões de clientes, como números de contas bancárias, saldos e cartões de crédito.
O caso serviu como um alerta sobre a importância da segurança cibernética e da adoção de medidas robustas, como a autenticação multifator e a conscientização dos riscos representados por empresas terceirizadas e malwares de roubo de informações.
Conclusão
O escândalo da Snowflake expôs as vulnerabilidades subjacentes à segurança cibernética, mesmo em empresas aparentemente bem-estabelecidas. À medida que as ameaças cibernéticas se tornam cada vez mais sofisticadas, é crucial que as organizações adotem medidas de segurança rigorosas, como a autenticação multifator, e estejam cientes dos riscos representados por empresas terceirizadas e malwares de roubo de informações.
Este incidente serve como um lembrete sombrio da importância da vigilância constante e da adoção de melhores práticas de segurança cibernética, para proteger dados críticos e evitar violações devastadoras.
