De lijst met bedrijven wier gegevens zijn buitgemaakt in de grootschalige datadiefstal uit Snowflake-omgevingen blijft maar groeien. Inmiddels kunnen we wel zeggen dat het om het grootste lek gaat van 2024, tot zover althans. Tijd voor een reconstructie.
Wie Techzine of andere IT-nieuwssites de afgelopen maanden geregeld bezocht, las om de paar weken wel een nieuwtje over wéér een bedrijf wiens Snowflake-omgeving was beroofd van klantgegevens. Aanvankelijk was zeker niet altijd duidelijk dat deze incidenten met elkaar te maken hadden.
Pas in de loop van mei bleek dat de berichten die binnendruppelden, behoorlijk op elkaar leken. De meeste diefstallen, zo niet allemaal, hebben waarschijnlijk plaatsgevonden in april of mei van dit jaar. In de gevallen waar de modus operandi bekend is, gaat het om infostealer-campagnes waarbij login-gegevens zijn buitgemaakt.
Het is goed eens op een rijtje te zetten om welke bedrijven het nu allemaal gaat. Van het merendeel is dat overigens helemaal niet bekend, al blijkt uit onderzoek van securitybedrijf –en Google-onderdeel– Mandiant, dat het samen met Snowflake uitvoerde, dat minstens 165 organisaties zijn getroffen door de aanvallen.
Mandiant vond geen bewijs waaruit zou blijken dat de onbevoegde toegang tot Snowflake-klantenaccounts het gevolg was van een kwetsbaarheid in de systemen van Snowflake zélf. Elk incident had gecompromitteerde klantgegevens als oorzaak. Met het slot was niks mis, maar de getroffen bedrijven hadden de sleutel op het slot laten zitten, als het ware.
Ticketmaster-lek
Vooral het nieuws eind mei over Ticketmaster, dat de gegevens van 560 miljoen klanten verloor, bracht de bal aan het rollen. Ticketmaster is een bekende speler en een bijna-monopolist op het gebied van ticketverkoop voor concerten en optredens van de grootste artiesten. Een high-profile-zaak dus.
De meer dan 1,3 terabyte aan gestolen data van het bedrijf zou onder meer namen en adressen bevatten. Ook zaten er telefoon- en bestelgegevens bij en gedeeltelijke creditcard-informatie. De data dook op de criminele marktplaats BreachForums op, eigendom van de criminelen van dreigingsgroep ShinyHunters.
Die bood de data te koop aan voor 500.000 dollar (462.000 euro), al is zeker niet duidelijk of deze groep ook verantwoordelijk is voor de datadiefstal, daaraan is gelieerd of gewoon een tussenschakel is. BreachForums was kort voor dit incident nota bene door de FBI offline gehaald. Het was blijkbaar een koud kunstje om deze weer de lucht in te krijgen.
Hoe dan ook, het dwong het beursgenoteerde Amerikaanse moederbedrijf Live Nation ertoe de inbraak te melden bij de Amerikaanse beurswaakhond SEC. Althans, het meldde een ‘unauthorized activity within a third-party cloud database environment‘. Voor iedereen die één en één bij elkaar kon optellen, was duidelijk dat dit wel moést gaan over de Snowflake-omgeving van Ticketmaster.
Concerttickets online gegooid
Om te laten zien dat het de criminelen menens was, slingerden zij 39.000 verkochte ‘print at home’ tickets voor 154 optredens het internet op. Dit om de entertainmentgigant te bewegen alsnog te betalen. Het ging om aankomende concerten van grootheden als Aerosmith, Alanis Morissette, Bruce Springsteen, Cirque du Soleil, Metallica, Pearl Jam en de Red Hot Chili Peppers. Dit gebeurde niet door ShinyHunters, maar door een hacker (of groep) met de naam Sp1derHunters.
Ook al is de Ticketmaster-zaak wellicht het meest in het oog springende, het was niet de eerste melding van diefstal van gegevens uit een Snowflake-omgeving. Op 14 mei maakte de Spaanse bank Santander (met vestigingen over de hele wereld) al bekend dat iemand zich ongeoorloofd toegang had verschaft tot een database-omgeving van de bank, gehost door een derde partij.
De Santander-datadiefstal zou in april van dit jaar al hebben plaatsgevonden en de gegevens betreffen van meer dan 30 miljoen klanten en medewerkers van de bank in Chili, Spanje en Uruguay.
‘Geen kwetsbaarheid in Snowflake-systemen’
De CISO van Snowflake maakte in de communicatie over de incidenten meerdere keren duidelijk dat Snowflake geen blaam trof. In reactie op een dergelijke claim van cybersecurityspecialist Hudson Rock meldde het bedrijf uit Boston dat niets erop wees dat de malafide reeks acties was veroorzaakt door een kwetsbaarheid, verkeerde configuratie of inbreuk op zijn platform.
Een persoonlijk demo-account van een oud-medewerker van Snowflake was weliswaar gecomprommitteerd, maar daarop stond geen gevoelige informatie die kon leiden tot de reeks incidenten. Hudson Rock trok de keutel weer in.
Aanvallers zouden toegang hebben gekregen via buitgemaakte login-informatie van de Snowflake-klanten, soms al jaren oud en niet recent geroteerd, voor omgevingen waar bovendien multifactor-authenticatie ontbrak. Ook zou in de onderhavige gevallen een network allow-list ontbreken, die ervoor zorgt dat alleen verkeer van vertrouwde locaties toegang krijgt. Een of meerdere hackers (aangeduid met UNC5537) wisten in elk geval op deze manier in te breken. Onderzoek van Mitiga, een andere aanbieder van cloudsecurity-oplossingen, onderschreef dit scenario.
Tip: Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in
Publieke bevestiging blijft uit
Goed op te merken dat de link tussen Santander en diens Snowflake-omgeving niet publiekelijk door de bank is bevestigd. Iedereen gaat daar gewoon vanuit omdat ook hier één en één bij elkaar zijn op te tellen. Het bedrijf maakte melding van ongeoorloofde toegang tot een third party-cloudomgeving, zonder Snowflake te noemen en zonder te verwijzen naar ShinyHunters, UNC5537, Sp1derHunters of welke threat group dan ook.
Waarschijnlijk om enigszins te verhullen dat de oorzaak bij de bank zat, die basale securitymaatregelen onvoldoende lijkt te hebben toegepast. Dat geldt eigenlijk voor alle getroffen bedrijven. Inmiddels heeft Snowflake een nieuwe feature geïntroduceerd waarmee admins multifactor-authenticatie verplicht kunnen stellen. Let wel: de verantwoordelijkheid om dit daadwerkelijk door te voeren, ligt dus nog steeds bij de klant.
De bevestiging dat het Santander-incident er één in dezelfde reeks was, gebeurde via-via. Zo meldde BleepingComputer dat zowel TicketMaster als Santander inderdaad Snowflake-omgevingen gebruiken. Snowflake bevestigde datadiefstallen zonder namen te noemen, vooral om het punt te maken dat het bedrijf zelf geen blaam treft.
Handelaar in auto-onderdelen
Ondertussen druppelden de nieuwsberichten verder binnen. Een andere grote vangst, op 6 juni wereldkundig gemaakt, bleek Advance Auto Parts te zijn. In Europa volslagen onbekend, maar in Noord-Amerika en verschillende Caraïbische eilanden een grote speler op het gebied van (tweedehands) auto-onderdelen. Het bedrijf maakte bij justitie in de Amerikaanse staat Maine melding van de diefstal van zo’n 2,3 miljoen stuks klantgegevens.
Dat is mogelijk nog maar een klein aantal van het werkelijk aantal gedupeerden, want deze data was afkomstig uit een database met de gegevens van 380 miljoen klanten, buitgemaakt tussen 14 april en 24 mei. Het ging in dit geval onder meer om creditcard-data, informatie over werknemers en loyaliteitskaartennummers. Goed voor zo’n 3 terabyte aan data die te koop is aangeboden voor 1,5 miljoen dollar. De melding bij justitie kwam overigens een dikke maand nadat het oorspronkelijke nieuws bekend werd.
Dezelfde tactiek meerdere keren toegepast
De hackers in dit geval, die zichzelf ‘Sp1d3r’ noemen (een patroon wordt zichtbaar), wisten het Snowflake-account van Advance Auto Parts vermoedelijk te hacken via infostealer-malware, aldus Mandiant dat ook in dit geval Snowflake bijstond. Het lijkt erop dat precies deze tactiek is toegepast bij diverse bedrijven, vrijwel allemaal in de periode midden-april/midden mei. De teller liep door deze derde melding in elk geval al op tot 970 miljoen potentieel gedupeerden.
Ook een Snowflake-omgeving van storage-aanbieder Pure Storage was niet veilig. Het ging hier om één data-analytics workspace, waar het bedrijf telemetrie bewaarde ten behoeve van customer service. Mogelijk buitgemaakte data betreft bedrijfsnamen, LDAP-gebruikersnamen, e-mailadressen en het versienummer van de gebruikte software die de klanten van Pure Storage afnamen. Er is volgens het bedrijf geen rechtstreeks compromitterende informatie gestolen, zoals wachtwoorden of klantgegevens.
Winkelketens, verzekeraars en scholen
Verder sloot de Amerikaanse keten van luxe warenhuizen Neiman Marcus Group aan in de rij van getroffen bedrijven. Het raakte de gegevens van 60.000 klanten kwijt aan de cybercriminelen, bleek eind juni. Het gaat om transactiegegevens, emailadressen, cadeaukaartnummers, koop- en bestelgegevens en data van medewerkers. Voor 150.000 dollar te koop aangeboden.
Andere bedrijven die zijn beroofd van klantgegevens zijn brouwerij Anheuser-Busch, autoproducent Mitsubishi, verzekeringsmaatschappijen Allstate, Progressive en State Farm en Los Angeles Unified, het op één na grootste openbare scholendistrict in de VS. In dat laatste geval betrof het 11 GB aan records, waaronder de gegevens van 26.000 leerlingen. De vraagprijs was hier ‘slechts’ 1.000 dollar. Van veel andere bedrijven is niet helder hoe groot de schade is en wat de criminele vraagprijs is voor de buit.
Naaktfoto’s
Mandiant stelde onlangs echter dat de cybercriminelen gemiddeld tussen de 300.000 en 5 miljoen dollar (tussen de 280.000 en 4,6 miljoen euro) vragen voor ontsleuteling of teruggave van de buitgemaakte gegevens. De hackers hebben bij zeker tien bedrijven dergelijke eisen neergelegd, aldus het cybersecuritybedrijf.
De hackers, die vanuit Noord-Amerika en Turkije zouden opereren, zijn uitermate brutaal, aldus een woordvoerder van het bedrijf. Onderzoekers kregen zélf met bedreigingen te maken, waaronder door AI-gegenereerde ‘naaktfoto’s’ van een betrokken securityspecialist, in een poging deze af te laten zien van verder speurwerk.
Overlap met andere netwerken
Zoals we eerder berichtten, is het volgens Mandiant mogelijk dat UNC5537 grote overlap heeft met de groep Scattered Spider, waarvan een leider onlangs in Spanje is gearresteerd. Het blijft onduidelijk hoe deze los-vaste criminele samenwerkingsverbanden werkelijk in elkaar zitten.
Mandiant heeft instructies opgesteld voor bedrijven die slachtoffer zijn geworden van deze omvangrijke datadiefstal. De komende tijd worden vast nog meer gevallen publiekelijk bekend, want eigenlijk is nog maar een fractie in de openbaarheid gekomen. Hoe groot de diefstal écht is geweest, zullen we misschien nooit weten.