Aún no se sabe cuántos clientes de Snowflake han sido afectados, hasta qué punto se han robado datos relevantes, por qué tardó tanto en identificar este problema tan grave o incluso por qué no exigió el uso de MFA en las cuentas de sus clientes.
Tal y como se ha ido contando estos días, el sector de la ciberseguridad tiene por delante un nuevo y gran problema a resolver: un ataque dirigido a los clientes de Snowflake, una empresa de almacenamiento en la nube, que, tal y como explican en The Wired, amenaza con convertirse en una de las mayores violaciones de datos de la historia.
Si aún andas algo perdido o perdida, es el famoso ciberataque que ha afectado a empresas como Ticketmaster y Santander. Se informó que se estaban vendiendo 1,3 TB de datos de Ticketmaster, incluida la información de más de 560 millones de personas. En cuanto al Santander, se sabe que tienen acceso a 68 millones de cuentas de 30 millones de clientes.
Snowflake está trabajando con empresas de ciberseguridad CrowdStrike y Mandiant para investigar el incidente y, por el momento, no se ha encontrado evidencia de que el ataque haya sido causado por credenciales comprometidas del personal de la compañía. Sin embargo, la respuesta de Snowflake ha sido algo escueta y, según muchos, insuficiente.
A todo esto se le suma que a pesar de asegurar también de que sus propios sistemas no han sido comprometidos, la falta de medidas de seguridad eficientes ha sido un punto clave. El problema radica en que los clientes no estaban utilizando la autenticación multifactor (MFA), una capa adicional de seguridad que Snowflake recomienda pero no exige.
Hay demasiadas cosas que Snowflake no está contando sobre el ataque masivo
Tal y como explica la empresa, una cuenta de un ex empleado fue comprometida debido a que solo estaba protegida con un nombre de usuario y una contraseña. Describieron el problema como una campaña dirigida a usuarios con autenticación de un solo factor, usando credenciales robadas a través de malware o violaciones de datos anteriores.
Snowflake declara que ha notificado a un “número limitado” de clientes afectados, sin especificar cuántos. Para que te hagas una idea, la empresa tiene más de 9.800 clientes, incluyendo grandes empresas como las antes mencionadas y entre las que se incluyen otras como Adobe, Canva y Mastercard, por lo que el alcance del ataque podría ser mayor de lo que se sabe hasta ahora.
El tiempo de respuesta ante el problema también se ha puesto en tela de juicio. Estos afirmaron haberse dado cuenta de la “actividad amenazante” el 23 de mayo, aunque las intrusiones datan de mediados de abril. Este tiempo perdido entra la detección y notificación ha dejado a muchos preguntándose por qué Snowflake no consiguió identificar antes la filtración de grandes cantidades de datos de clientes.
A todo esto, por último, se le suma la falta de claridad sobre qué datos estaban almacenados en la cuenta comprometida del ex empleado de Snowflake. Aunque aseguran que esta cuenta no tenía datos sensibles, la definición de “datos sensibles” no ha sido clarificada. Snowflake no ha especificado si considera la información de identificación personal como datos sensibles, por lo que la duda —o mejor dicho, las dudas— sigue.
Conoce cómo trabajamos en Computerhoy.
Etiquetas: Malware, Software, Ciberseguridad
