- Pada 31 Mei 2024, perusahaan cloud Snowflake mengalami kebocoran data berskala besar
- Hudson Rock mengonfirmasi bahwa hacker memperoleh akses melalui infeksi infostealer
- Hacker menjual data dari sejumlah perusahaan besar, termasuk Ticketmaster dan Banco Santander, di forum kejahatan siber berbahasa Rusia
Metode Peretasan
- Hacker masuk ke akun ServiceNow milik karyawan Snowflake menggunakan kredensial curian.
- Mereka melewati OKTA untuk membuat token sesi dan mengekfiltrasi data dalam jumlah besar.
- Hacker mengklaim sekitar 400 perusahaan terdampak.
Bukti Tambahan
- Hacker membagikan file CSV kepada para peneliti Hudson Rock yang menunjukkan hak akses ke server Snowflake.
- File ini mendokumentasikan lebih dari 2.000 instance pelanggan yang terkait dengan server Snowflake di Eropa.
Tujuan Hacker
- Hacker menuntut $20 juta dari Snowflake untuk mendapatkan kembali data tersebut.
- Perusahaan tidak menanggapi hal itu.
Peningkatan Infeksi Infostealer
- Infeksi infostealer meningkat 6000% sejak 2018 dan menjadi salah satu vektor serangan awal utama.
- Ini digunakan untuk melancarkan serangan siber, termasuk ransomware, kebocoran data, pengambilalihan akun, dan aktivitas spionase perusahaan.
Opini GN⁺
- Pentingnya keamanan siber: Insiden ini menunjukkan bahwa perusahaan perlu memberi perhatian lebih besar pada keamanan siber. Khususnya, pengelolaan kredensial karyawan sangat penting.
- Ancaman infostealer: Infostealer menyebar sangat cepat, dan perusahaan perlu menyiapkan langkah antisipasi terhadap ancaman ini.
- Strategi respons: Saat insiden peretasan terjadi, diperlukan respons cepat dan strategi untuk meminimalkan kerugian. Respons Snowflake yang terlambat memperbesar dampaknya.
- Pelatihan keamanan: Penting untuk memperkuat pelatihan keamanan bagi karyawan agar meningkatkan pengelolaan kredensial dan kesadaran terhadap serangan phishing.
- Solusi alternatif: Solusi penyimpanan cloud lain dengan fungsi serupa Snowflake dapat dipertimbangkan, misalnya AWS S3 atau Google Cloud Storage.
1 komentar
Komentar Hacker News
Saat ini URL yang ditautkan melakukan redirect 302 ke
/. @dang, sepertinya lebih baik diganti dengan tautan arsip di bawahhttps://web.archive.org/web/20240531140540/https://www.hudso...
Namun, fakta bahwa Hudson Rock menurunkan postingan blog itu juga merupakan sinyal yang menarik, jadi sebaiknya jangan sekadar menggantinya dengan tautan arsip lalu lanjut begitu saja. Apa yang berubah?
Tambahan: Tanggapan resmi Snowflake tampaknya pada dasarnya membantah hampir semua klaim inti dari artikel aslinya. Bisa jadi Hudson Rock tertipu oleh sumber yang tidak jujur, lalu menyadari kesalahannya dan menurunkan artikelnya
https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Saya Felipe dari Snowflake. Posisi terbaru Snowflake terkait isu ini ada di sini: https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Jika ada kabar tambahan, saya akan terus memperbarui URL ini
Namun, kalimat Snowflake yang berbunyi “serupa dengan akun pelanggan yang terdampak, kami menemukan bukti bahwa pelaku ancaman memperoleh kredensial pribadi untuk akun demo milik mantan karyawan Snowflake dan mengaksesnya. Tidak ada data sensitif di sana” terbaca seolah Snowflake menganggap penjelasan Hudson Rock itu salah. Apakah pemahaman saya benar?
Sebaliknya, tulisan Snowflake terlihat seperti mengatakan bahwa kredensial akun pelanggan bocor, selesai sampai di situ, dan tidak ada akses ke akun pusat atau akun lain. Tidak ada pernyataan apa pun tentang penggunaan info akun karyawan tanpa autentikasi dua faktor
Jelas Snowflake pasti ingin semua kredensial akses internal karyawannya memakai autentikasi dua faktor. Dulu, jika pelanggan menginginkannya, mereka bisa membuat nama pengguna/kata sandi untuk login ke data mereka sendiri dan mengaksesnya tanpa autentikasi dua faktor
Screenshot log chat itu benar-benar mengesankan. Perusahaan ini mengklaim sedang berkomunikasi dengan penjahat sungguhan, dan penjahat itu berkata bahwa jika perusahaan ini digunakan, pelanggaran tersebut bisa dibantu untuk dicegah
Jadi saya memperbarui penilaian saya tentang kredibilitas perusahaan ini
Hudson Rock tampaknya lalu membesar-besarkan ceritanya agar terlihat seperti pelanggaran yang lebih besar dari kenyataannya. Saya juga penasaran apakah peretas itu mendatangi Hudson Rock lebih dulu, atau Hudson Rock adalah perusahaan pertama yang bersedia menanggapinya
“Kalian seharusnya membeli perlindungan dari Hudson Rock, dan kalau begitu kejadian ini bisa dicegah”
“Betul, itu pasti akan membantu”
“Selamat. Perusahaan Anda telah lulus audit keamanan informasi dadakan dan menjadi korban ransomware.”
[...]
Yang disediakan: 1) bantuan dekripsi penuh 2) bukti penghapusan data 3) laporan keamanan tentang kerentanan yang ditemukan 4) jaminan bahwa data tidak akan dipublikasikan atau dijual 5) jaminan tidak akan menyerang lagi di masa depan
Pada akhirnya ini cuma perusahaan konsultan keamanan yang tidak Anda sadari sudah Anda masukkan ke daftar penggajian
Sebagai catatan, ketika saya melihat apa yang mereka berikan sebagai bukti penghapusan data, itu secara harfiah hanyalah output standar dari
rm -vrf data. Saya paham bahwa memberikan bukti ketiadaan itu mustahil dan korban tidak punya daya tawar, tetapi drama ini cukup saya sukaiBahkan jika itu nyata, masuk akal untuk menghapus pesan Hudson Rock. Saya sudah memasukkan perusahaan ini ke daftar hitam di kepala saya
Jika hanya melihat ungkapan pelaku, Snowflake tampak seolah merancang sistem dengan memberi kewenangan penuh atas segalanya pada satu akun admin tunggal
Fakta bahwa dalam pengumuman 31 Mei Snowflake mengatakan sedang menyelidiki “serangan berbasis identitas yang berdampak pada sebagian pelanggan dan terjadi di seluruh industri” juga menambah kredibilitas pada cerita Ticketmaster dan Santander
https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Jika pelaku ancaman melakukannya dengan benar, ini bisa menjadi salah satu kebocoran data terbesar sepanjang masa
Datanya tampaknya berasal dari akun Snowflake milik orang itu yang digunakan saat membuat demo untuk pelanggan atau calon pelanggan. Memang ada kemungkinan pelanggan memberi hak akses agar sebagian data nyata dipakai dalam demo, tetapi itu jauh berbeda dari akses tak terbatas ke database Snowflake milik pelanggan itu sendiri
Sangat mungkin peretas mengambil data palsu untuk demo yang terlihat meyakinkan, lalu tidak menyadari perbedaannya
Satu sales engineer menangani beberapa akun. Sales engineer Snowflake biasanya tidak membangun di dalam lingkungan pelanggan, melainkan menyiapkan akun demo kredit $400 yang bisa dibuat siapa saja. Karena akun demo akan kedaluwarsa seiring waktu, mereka terus membuat yang baru
Sales engineer membangun di dalam akun demo yang mereka buat lalu menunjukkannya ke pelanggan. Setelah 30 hari, Snowflake akan mengunci akun itu jika tidak ada kartu kredit, lalu menghapus instance demo dan datanya
Untuk pekerjaan tersebut, pelanggan bisa membagikan data dari instance Snowflake mereka sendiri ke instance demo yang dibuat sales engineer, atau memberi hak akses kepada sales engineer Snowflake itu melalui SSO
Mana pun caranya, ini lebih merupakan masalah organisasi yang tidak menjalankan postur keamanan mereka secara cukup ketat. Ini bukan serangan yang menghadirkan hal baru selain menemukan seorang sales engineer yang bekerja keras, serta pelanggan yang tidak membatasi cakupan izin karyawan/kontraktor/tamu dengan benar
Menariknya, di halaman pertama juga ada cerita terkait tentang penggunaan Pegasus terhadap LSM di Eropa Timur. Prinsip least privilege itu penting, tetapi keamanan perangkat juga penting
https://news.ycombinator.com/item?id=40535912
Saya bukan karyawan Snowflake, tetapi banyak bekerja bersama Snowflake dan organisasi sales engineer mereka
Saat membuat demo dengan pelanggan, para sales engineer membuat lingkungan demo dengan akun demo Snowflake senilai 400 dolar yang bisa dibuat siapa saja. Untuk membuat demo, pelanggan memberi hak akses kepada sales engineer tersebut, lalu sales engineer memindahkan sebagian data ke lingkungan demo untuk dikerjakan. Nama lingkungan yang diungkap Hudson Rock juga mendukung hal ini
Menurut saya, ini adalah masalah proses: ID milik orang yang dulu berbagi data itu tidak dibuat kedaluwarsa oleh pelanggan, lalu pelaku ancaman mencuri kredensialnya. Karena ini bukan eksploitasi kerentanan, tidak ada hal baru di sini
Dan Hudson Rock, selamat karena telah secara terbuka mengekspos seseorang yang menjadi korban gara-gara komputernya terkena malware. Tidak berbeda dengan kasus memberi kredensial kepada kontraktor lalu kredensial itu dicuri. Ini tindakan yang sangat jahat
Snowflake tahu bahwa kredensial sales engineer bisa dicuri, kredensial itu bisa melewati autentikasi multi-faktor, dan menurut artikelnya juga tidak memiliki masa berlaku. Itu strike 1, 2, dan 3
Praktik keamanan Snowflake menciptakan situasi di mana pelanggan diharuskan, atau setidaknya didorong, untuk membagikan akses ke dataset yang luas kepada karyawan Snowflake. Itu strike 4
Pelanggan memang juga bertanggung jawab karena memberi akses yang terlalu luas, tetapi Snowflake juga bertanggung jawab karena tidak membuat sistem yang lebih baik agar akses seperti ini tidak diperlukan, atau setidaknya tidak mengawasi dan mengendalikan akses transitif ini dengan lebih baik
Begitu akun seperti ini diberi hak akses ke data pelanggan, itu bukan lagi “akun demo”. Itu adalah akun nyata, dengan data nyata yang sangat berharga, sehingga harus diperlakukan demikian
Tambahan: Snowflake mengklaim akun demo tersebut tidak mengakses data pelanggan dan bukan sumber kebocoran, yang bertentangan dengan klaim penyerang
“Bayangkan Anda memiliki akses ke platform pencarian prospek dengan ratusan ribu perusahaan yang telah diretas dan kerentanan aktif di seluruh dunia, dan dapat mengubah mereka menjadi pelanggan.”
Saya pernah melihat dan berurusan dengan beberapa perusahaan tipe seperti ini, dan taktiknya cukup murahan, dengan tingkat keterampilan maupun usaha teknis yang rendah
Tanggapan resmi Snowflake menyatakan seperti ini
“Kami meyakini ini merupakan hasil dari serangan berbasis identitas yang sedang berlangsung di seluruh industri, dengan tujuan memperoleh data pelanggan. Penyelidikan menunjukkan bahwa serangan ini dilakukan menggunakan kredensial pengguna milik pelanggan yang terekspos melalui aktivitas ancaman siber yang tidak terkait. Hingga saat ini, kami tidak melihat aktivitas ini terjadi karena kerentanan dalam produk Snowflake, kesalahan konfigurasi, atau aktivitas jahat di dalam Snowflake.”
[0]https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Sepertinya artikelnya diubah menjadi privat, tetapi masih tersimpan di Wayback Machine: https://web.archive.org/web/20240531140540/https://www.hudso...
Tulisan ini mengklaim bahwa pelanggaran Ticketmaster beberapa hari lalu sebenarnya adalah peretasan yang jauh lebih luas, yang memengaruhi lebih dari 400 perusahaan, melalui kredensial curian milik karyawan Snowflake
Saat ini ini tampak seperti cerita besar yang hanya diberitakan oleh hudsonrock.com. Saya baru pertama kali mendengar Hudson Rock, adakah yang tahu apakah itu sumber yang dapat dipercaya?
Sejumlah akun diblokir oleh operator dan admin Reddit. Secara pribadi saya tidak menganggapnya sebagai sumber yang tepercaya atau layak dipercaya
https://www.bbc.co.uk/news/articles/c6ppv06e3n8o
Snowflake tampaknya mengatakan ini bukan salah mereka, melainkan salah pelanggan
https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Jika https://www.hudsonrock.com/blog/snowflake-massive-breach-acc... bukan cerita yang sepenuhnya dibuat-buat, maka Snowflake sedang menyampaikan fakta dengan cara yang agak kurang jujur
Frasa “penyelidikan menunjukkan…” tidak jelas apakah itu merujuk pada penyelidikan internal mereka sendiri atau riset keamanan yang lebih umum. Kalimat “kami tidak melihat ini terjadi karena kerentanan dalam produk Snowflake, kesalahan konfigurasi, atau aktivitas jahat” juga menolak sejumlah skenario yang mungkin, sambil dengan lihai menghindari penjelasan tentang bagaimana ini sebenarnya terjadi
Jika percaya pada Hudson Rock, Snowflake telah dihubungi oleh pelaku jahat, jadi kemungkinan besar mereka sudah mengetahui cukup jelas bagaimana hal ini terjadi
Mereka mengatakan serangan itu “dilakukan menggunakan kredensial pengguna milik pelanggan yang terekspos melalui aktivitas ancaman siber yang tidak terkait”, jadi kalau ini bukan karangan, tampaknya mereka menilai kredensial itu diperoleh dari tempat lain
Di bagian akhir mereka juga meminta pelanggan meninjau pengaturan akun mereka, jadi arahnya memang mengalihkan tanggung jawab dari diri mereka sendiri. Namun saat ini sumbernya adalah perusahaan yang diretas dan perusahaan yang memanfaatkan insiden ini untuk mempromosikan produknya sendiri sambil dengan berani membeberkan identitas karyawan, jadi sebaiknya menunggu sampai ada informasi yang lebih rinci
Peretas juga mengklaim mereka bahkan tidak membuat refresh token kedaluwarsa, dan jika itu benar, itu adalah masalah yang sangat besar dan sangat jelas
Artikel itu tampaknya tidak terlalu konsisten dengan judul “ratusan pelanggan dibobol”
Pertama, kata sandi lift/okta tampaknya hanya memberi akses ke portal ServiceNow dan bukan akses ke akun pelanggan, sehingga masalah refresh token tampaknya terbatas pada portal ServiceNow dan tidak terlihat terkait dengan paparan data di akun Snowflake pelanggan yang sebenarnya
Kedua, dalam tangkapan layar yang menyebutkan 10 akun perusahaan dibobol, terlihat 4 kredensial akun Snowflake yang berbeda, salah satunya tampak seperti akun demo pribadi. Jadi paling jauh itu bisa menjelaskan sekitar 3 pelanggan yang dibobol, tetapi tidak ada detail yang menunjukkan pelanggaran pelanggan lain
Bahkan jika diasumsikan semua kredensial untuk semua pelanggan yang sedang ditangani oleh sales engineer itu ikut bocor, jumlah pelanggan yang dibobol kemungkinan hanya berada di kisaran dua digit rendah. Karena setiap akun pelanggan harus secara terpisah memberikan hak akses kepada sales engineer tersebut
Mengatakan seluruh basis pelanggan Snowflake dibobol berdasarkan masalah refresh token di portal Okta internal adalah lompatan besar, dan masalah itu tidak terhubung ke akun Snowflake pelanggan mana pun