2024年5月31日,云安全供应商Mitiga揭露,云存储和分析巨头Snowflake的客户数据库遭到黑客攻击,黑客利用窃取的凭据访问Snowflake数据库。
威胁行为者利用被盗凭据
根据Mitiga在周四发布的博客文章,追踪为UNC5537的威胁行为者被发现使用被盗的客户凭据来利用Snowflake数据库,以针对组织进行数据盗窃和勒索活动。这些攻击者主要针对缺乏双因素身份验证(2FA)的Snowflake环境,并且正在使用自定义攻击工具。
商业VPN IP地址成威胁源头
Mitiga指出,这些威胁活动源自商业VPN的IP地址。博客文章还声称,UNC5537直接勒索组织,并通过在黑客论坛上公开发布窃取的数据出售来进一步向他们施压。
Snowflake的市场地位
Snowflake作为云存储和分析市场的主要参与者,拥有超过9,000家客户,在数据仓库市场占有超过20%的市场份额。其在2020年9月的IPO是当时软件公司有史以来规模最大的IPO之一。
Mitiga的调查
Mitiga的研究总监Or Aspir在一封电子邮件中向TechTarget编辑透露,在处理大量客户查询和威胁情报报告后,首次观察到了针对Snowflake客户环境的新出现威胁。
Aspir表示,Mitiga没有直接联系Snowflake,因为调查表明该活动于4月份开始,针对的是Snowflake客户,但没有破坏或损害Snowflake的内部系统。
Snowflake的回应
Snowflake的一位发言人分享了一份安全建议,称某些客户账户已成为目标,但“不认为此活动是由Snowflake产品中的任何漏洞、错误配置或恶意活动引起的。”
建议和防范措施
Snowflake建议客户查看单独的安全公告中发现的妥协和缓解措施的指标。同时,Check Point Software Technologies警告称,少数VPN客户可能会受到针对使用基于密码的身份验证的账户的网络攻击。
结语
此次Snowflake客户数据库被窃取凭据访问的事件,再次提醒了加强网络安全措施,特别是双因素身份验证(2FA)的重要性。企业和个人用户都应采取必要措施,保护自身数据安全。
作者: Alexander Culafi
