Fuga de información en Snowflake

Snowflake es una compañía estadounidense basada en el almacenamiento y análisis de datos en la nube, que da servicio a 9500 empresas en todo el mundo y que ha sufrido un ciberataque en el que se han sustraído los datos de 400 clientes, según el actor responsable.

La compañía ha negado que el ataque haya sido provocado por una vulnerabilidad en sus productos o por cuentas de empleados comprometidas. En su lugar, sugieren que se ha originado desde las cuentas de usuarios comprometidas y que no tenían configurado sistemas de doble autenticación. Se cree que los atacantes consiguieron las credenciales de estos usuarios adquiriéndolas mediante infostealers o en otras campañas anteriores de robo de credenciales.

Apoyada por Crowdstrike y Mandiant, Snowflake continúa con la investigación sobre las cuentas comprometidas, aunque tal y como afirman en su comunicado oficial, descartan que se haya debido a una vulnerabilidad de la plataforma o al compromiso de cuentas de empleados de Snowflake. Además, ha contactado con los usuarios afectados y ha publicado una serie de recomendaciones para detectar posibles accesos sin autorización.

La compañía de seguridad Hudson Rock, sin embargo, sostuvo inicialmente en un blog publicado el 31 de mayo, que un empleado de Snowflake fue infectado con un infostealer de tipo Lumma en octubre y que consiguieron acceder a la estructura de Snowflake, desde donde modificaron los tokens de acceso de las víctimas. Para ello, se basa en una supuesta imagen compartida por el mismo actor.

Sin embargo, Hudson Rock ha retirado la publicación a fecha de 1 de junio.