Ticketmaster 数据泄露事件(据称包括 5.6 亿个账户的详细信息)和另一起影响桑坦德银行(Santander)的数据泄露事件都与云存储提供商 Snowflake 的账户有关。不过,Snowflake 表示没有证据表明其平台存在过错。
昨晚,调查该事件的两家第三方安全公司 CrowdStrike 和 Mandiant 对此发表了联合声明,增加了这一说法的可信度。此外,早前一份第三方报告称,不良分子生成了会话令牌,并可能已入侵了"数百个"Snowflake 账户,该报告现已被删除。
该报告背后的安全公司 Hudson Rock今天在 LinkedIn 上发布了自己的声明:"根据我们从 Snowflake 法律顾问那里收到的一封信,我们决定删除与我们的报告相关的所有内容"。
Snowflake 发布的一篇文章称:"迄今为止,我们并不认为这一活动是由 Snowflake 产品中的任何漏洞、错误配置或恶意活动引起的。在我们持续调查的过程中,我们已经及时通知了我们认为可能受到影响的少数客户。"
联合声明称,这些攻击似乎是一场"有针对性的活动",主要针对没有多因素身份验证的账户。Snowflake还发布了客户审查账户异常活动的说明,以及设置账户和网络策略以防止类似攻击的方法。
Snowflake、CrowdStrike 和 Mandiant:
我们尚未发现证据表明该活动是由 Snowflake 平台的漏洞、配置错误或违规行为引起的;
我们没有发现证据表明这一活动是由现任或前任 Snowflake 人员的证书泄露造成的;
这似乎是针对使用单因素身份验证的用户开展的有针对性的活动;
作为这一活动的一部分,威胁行为者利用了之前购买或通过信息窃取恶意软件获得的凭证;以及
我们确实发现有证据表明,一名威胁行为者获取了一名前 Snowflake 员工的个人凭证,并访问了该员工的演示账户。其中不包含敏感数据。演示帐户未连接到 Snowflake 的生产或企业系统。之所以能够进行访问,是因为演示帐户与 Snowflake 的企业和生产系统不同,不在 Okta 或多因素身份验证 (MFA) 的支持下。
Ticketmaster 的母公司 Live Nation 等了 11 天,才在周五晚间给投资者的说明中确认了数据泄露事件。