Kebocoran Data Snowflake: Hacker Dipastikan Masuk Melalui Infeksi Infostealer

 (hudsonrock.com)
1 poin oleh GN⁺ 2024-06-01 | 1 komentar | Bagikan ke WhatsApp
  • Pada 31 Mei 2024, perusahaan cloud Snowflake mengalami kebocoran data berskala besar
  • Hudson Rock mengonfirmasi bahwa hacker memperoleh akses melalui infeksi infostealer
  • Hacker menjual data dari sejumlah perusahaan besar, termasuk Ticketmaster dan Banco Santander, di forum kejahatan siber berbahasa Rusia

Metode Peretasan

  • Hacker masuk ke akun ServiceNow milik karyawan Snowflake menggunakan kredensial curian.
  • Mereka melewati OKTA untuk membuat token sesi dan mengekfiltrasi data dalam jumlah besar.
  • Hacker mengklaim sekitar 400 perusahaan terdampak.

Bukti Tambahan

  • Hacker membagikan file CSV kepada para peneliti Hudson Rock yang menunjukkan hak akses ke server Snowflake.
  • File ini mendokumentasikan lebih dari 2.000 instance pelanggan yang terkait dengan server Snowflake di Eropa.

Tujuan Hacker

  • Hacker menuntut $20 juta dari Snowflake untuk mendapatkan kembali data tersebut.
  • Perusahaan tidak menanggapi hal itu.

Peningkatan Infeksi Infostealer

  • Infeksi infostealer meningkat 6000% sejak 2018 dan menjadi salah satu vektor serangan awal utama.
  • Ini digunakan untuk melancarkan serangan siber, termasuk ransomware, kebocoran data, pengambilalihan akun, dan aktivitas spionase perusahaan.

Opini GN⁺

  • Pentingnya keamanan siber: Insiden ini menunjukkan bahwa perusahaan perlu memberi perhatian lebih besar pada keamanan siber. Khususnya, pengelolaan kredensial karyawan sangat penting.
  • Ancaman infostealer: Infostealer menyebar sangat cepat, dan perusahaan perlu menyiapkan langkah antisipasi terhadap ancaman ini.
  • Strategi respons: Saat insiden peretasan terjadi, diperlukan respons cepat dan strategi untuk meminimalkan kerugian. Respons Snowflake yang terlambat memperbesar dampaknya.
  • Pelatihan keamanan: Penting untuk memperkuat pelatihan keamanan bagi karyawan agar meningkatkan pengelolaan kredensial dan kesadaran terhadap serangan phishing.
  • Solusi alternatif: Solusi penyimpanan cloud lain dengan fungsi serupa Snowflake dapat dipertimbangkan, misalnya AWS S3 atau Google Cloud Storage.

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-01
Komentar Hacker News
  • Dalam proses bekerja sama dengan Snowflake, seorang SE (solution engineer) menyiapkan lingkungan demo dan menggunakan data klien. Ini tampaknya masalah yang terjadi karena klien tidak mengelola masa berlaku ID.
  • Judul artikel dan isinya tidak sesuai. Ini tampaknya bukan masalah yang terkait dengan kebocoran data pelanggan, dan jumlah pelanggan yang benar-benar terdampak sedikit.
  • Felipe dari Snowflake membagikan informasi terbaru tentang masalah ini. Pembaruan terbaru dapat dilihat melalui tautan tersebut.
  • Tangkapan layar log chat cukup mengesankan. Pelaku kejahatan sedang berkomunikasi dengan perusahaan ini, dan mengklaim bahwa dengan bantuan perusahaan, pelanggaran dapat dicegah.
  • Sistem Snowflake tampaknya dirancang dengan cara yang memungkinkan semua akses melalui satu akun admin. Ini meningkatkan kredibilitas insiden Ticketmaster dan Santander.
  • Snowflake mengklaim masalah terjadi karena kesalahan pelanggan. Hasil penelitian menekankan bahwa ini bukan karena kerentanan produk Snowflake atau konfigurasi yang salah.
  • Menurut respons resmi Snowflake, insiden ini terkait dengan kredensial pengguna pelanggan yang terekspos. Ini bukan masalah pada produk Snowflake itu sendiri.
  • Ada klaim bahwa insiden pelanggaran Ticketmaster memengaruhi lebih dari 400 perusahaan akibat pencurian kredensial karyawan Snowflake. Keandalan Hudson Rock pun dipertanyakan.
  • Dijelaskan bahwa pelaku ancaman membajak akun ServiceNow milik karyawan Snowflake untuk melewati OKTA. Ada permintaan penjelasan tentang peran dan pentingnya ServiceNow.
  • Muncul pertanyaan tentang bagaimana pencurian kredensial karyawan Snowflake bisa digunakan untuk mengakses data pelanggan. Ekspektasi terhadap keamanan data Snowflake cukup tinggi.