« Quand il pleut des données, mieux vaut avoir un bon parapluie ! »
Les chercheurs en cybersécurité sont sur des charbons ardents depuis qu’ils croient que des cybercriminels motivés par l’appât du gain ont subtilisé un « volume significatif de données » provenant de centaines de clients utilisant le géant du stockage dans le cloud, Snowflake. C’est Mandiant, une firme réputée en intervention d’incidents, qui travaille de concert avec Snowflake pour enquêter sur cette vague de vols de données.
Dans un billet de blog publié lundi, Mandiant a révélé que les deux sociétés ont informé environ 165 clients que leurs données pourraient avoir été dérobées. C’est la première fois que le nombre de clients touchés est dévoilé depuis le début des piratages de comptes en avril. Snowflake, qui compte plus de 9 800 clients, allant des organisations de santé aux géants du commerce de détail et aux grandes entreprises tech, n’a jusqu’ici que peu communiqué sur ces attaques.
Si seulement Ticketmaster et LendingTree ont confirmé des vols de données, il se pourrait bien que d’autres clients de Snowflake ne tardent pas à découvrir le pot aux roses. Mandiant révèle que cette campagne de menaces est « encore en cours », ce qui laisse entendre que le nombre de clients impactés pourrait encore augmenter. Les hackers, un gang nommé UNC5537, essayent d’extorquer leurs victimes pour qu’elles paient pour récupérer leurs fichiers ou éviter la publication de leurs données.
La prudence est de mise, le nombre de victimes pourrait continuer à grimper!
En avril déjà, Mandiant avait identifié des indices d’accès impropre à un environnement client de Snowflake. Les cybercriminels utilisent des informations d’identification volées pour accéder aux instances Snowflake des clients et exfiltrer des données précieuses. Ces identifiants proviennent d’anciennes infections par des logiciels malveillants, certaines datant de 2020!
D’ailleurs, TechCrunch a relevé que des centaines de ces identifiants circulent en ligne à cause de logiciels malveillants ayant infecté les ordinateurs du personnel ayant accès aux environnements Snowflake. Heureusement, Snowflake prévoit d’imposer l’utilisation de l’authentification multi-facteurs (MFA) pour ses clients, même si aucune échéance n’est encore annoncée.
Alors que Snowflake se démène pour développer ce plan de sécurité, ils ne se sont pas encore avancés à propos de la réinitialisation des mots de passe clients ou l’application immédiate de la MFA. Quand il s’agit de protéger des montagnes d’informations, mieux vaut ne pas laisser de flocons au hasard.
En somme, quand les données tombent comme la neige, assurez-vous que vos comptes ne glissent pas sans anti-dérapants, alias MFA!
Source : Techcrunch