Angriff auf Cloud-Anbieter: Datenbank-Klau bei Snowflake-Kunden
Sicherheitsforscher und Snowflake fanden Hinweise auf systematische Attacken. Die Event-Firma Live Nation bestätigte unterdessen einen erfolgreichen Angriff.
Die "Snowflake Data Cloud" ist offenbar Ziel mehrerer Angriffe geworden, bei denen Kundendaten unerlaubt kopiert und im Darknet zum Kauf angeboten wurden. Der Anbieter für cloudbasierte Datenspeicher sieht keine Hinweise auf ein Sicherheitsleck, sondern vermutet Zugangsdaten-Klau per Infostealer-Malware. Mittlerweile warnt auch die australische Cybersicherheitsbehörde.
Wie das ACSC (Australian Cyber Security Centre) schreibt, haben die unbekannten Angreifer bereits mehrere Snowflake-Kunden kompromittiert. Das bestätigt auch Brad Jones, Chief Information Security Officer (CISO) des Unternehmens, betont jedoch, es handele sich nicht um ein Datenleck bei Snowflake. Vielmehr seien die Einbrüche auf mittels Infostealer-Malware gestohlene Zugangsdaten zurückzuführen, die der oder die Angreifer auf dem Schwarzmarkt gekauft habe. Nur Kunden, die auf Zwei-Faktor-Authentifizierung in ihren Snowflake-Konten verzichten, seien zu Opfern geworden. Man habe die betroffenen Kunden und Organisationen informiert, erklärt Jones weiter.
Angriff auf Snowflake: Nein, aber doch?
Allerdings muss Jones einräumen, dass die Zugangsdaten eines ehemaligen Snowflake-Mitarbeiters gestohlen und für Zugriffe auf interne Konten verwendet wurden. Diese seien jedoch nur für Demonstrationszwecke gedacht gewesen, aber ebensowenig wie die betroffenen Kundenkonten mittels Mehrfaktor-Authentifizierung abgesichert.
Der Snowflake-CISO empfiehlt allen Kunden, Mehrfaktor-Authentifizierung und Netzwerk-Zugriffsregeln einzurichten und – sofern sie vom Datenleck betroffen sind – alle Zugangskennungen zu ändern. Zudem stellt das Unternehmen eine Sammlung von "Indicators of Compromise" (IoC) bereit, die im Wesentlichen aus knapp 70 IP-Adressen sowie den Versionskennungen der Angreifer besteht. Die IoC-Liste ist Teil einer umfangreichen Hilfeseite, die auch Tipps zur Härtung des Snowflake-Kontos gibt. Das Unternehmen selbst greift auf Experten von Mandiant und CrowdStrike zurück, um den Vorfall zu untersuchen.
Auch das US-Unternehmen Live Nation, dessen Kundendaten kürzlich im Darknet auftauchten, hat mittlerweile in einer Pflichtmitteilung (Formular 8-K) an die US-Börsenaufsicht einen Sicherheitsvorfall bestätigt, bei dem Snowflake-Datenbanken entwendet wurden. Der Vorfall habe sich am 20. Mai ereignet und werde derzeit von IT-Forensikern untersucht. Der mit der US-Regierung in einen Rechtsstreit verwickelte Anbieter für Konzerte und andere Events erwartet nach eigener Aussage jedoch keine schweren Auswirkungen auf den Geschäftsbetrieb.
(cku)