Snowflake a-t-il une responsabilité dans la vague d’attaques survenues ces derniers temps contre ses clients ?

Voilà environ trois semaines que l’entreprise américaine a pris connaissance de cette campagne. Elle se défend aujourd’hui de toute faille sur ses systèmes.

Les premières accusations dans ce sens étaient tombées fin mai. Le déclencheur : la mise en vente, sur une marketplace du darkweb (BreachForums), de données présentées comme provenant de Ticketmaster.

À défaut de confirmer l’authenticité des données en question, la maison mère avait reconnu avoir identifié une activité non autorisée dans un environnement tiers de base de données cloud.

Il n’avait pas fallu longtemps pour que soit cité Snowflake. En toile de fond, les déclarations d’un autre de ses clients. En l’occurrence, Santander. Mi-mai, le groupe bancaire avait déploré un accès non autorisé, à une « base de données hébergée par un fournisseur tiers ». En avait résulté le vol de données de clients dans trois pays (Chili, Espagne, Uruguay), ainsi que d’employés (actuels et anciens).

Hudson Rock, entreprise américaine qui donne dans le renseignement sur les menaces, avait fini par publier un rapport pointant clairement Snowflake. La communauté infosec lui avait accordé un certain crédit, entre autres au vu des sources avancées. En l’occurrence, un contact direct avec « l’acteur à l’origine de la faille massive chez le géant du stockage cloud », pour reprendre les termes employés.

Sur la foi de ce rapport, les leaks chez Ticketmaster et Santander découlent du piratage Snowflake. Plus précisément, de la connexion au compte ServiceNow d’un des employés en utilisant des authentifiants volés et en contournant Okta. La source interrogée aurait cherché – et échoué – à convaincre Snowflake de lui racheter les données.

Le rapport n’est plus en ligne à l’heure actuelle. Comme d’autres publications qui tendaient à le confirmer.

We are removing our posts about the SnowFlake breach due to ambiguities. The « Exact Credentials » statement relied on an external analysis of incident. We will not post further information until Official announcements.

Followings are the official reports we know of:…

— WhiteIntel Dark-Web Intelligence (@whiteintel_io) June 1, 2024