Logo Computerhoy.com

Los ciberdelincuentes detrás del hackeo al Santander y TicketMaster cuentan cómo lo hicieron

Un ciberdelincuente del grupo ShinyHunters ha contado cómo obtuvieron acceso a la cuenta en la nube de Snowflake y, por lo tanto, a millones de datos de clientes.

Hackeo Santander y Ticketmaster

Freepik/Computer Hoy

Foto del redactor Carolina González ValenzuelaFoto del redactor Carolina González Valenzuela

Ya se lleva comentando algunos días: un ataque dirigido a los clientes de Snowflake, una empresa de almacenamiento en la nube, que, tal y como explican en The Wired, ha amenazado con convertirse en una de las mayores violaciones de datos de la historia.

Aunque aquí tienes toda la información, Snowflake informó que ciberdelincuentes intentaron acceder a las cuentas de sus clientes —tiene más de 10.000 en todo el mundo, incluido España —utilizando datos de inicio de sesión robados. Entre las empresas afectadas se encuentran Ticketmaster y Santander, cuyos datos se cree que fueron comprometidos a través de las cuentas de esta compañía.

En cuanto a qué ocurrió realmente, la compañía ya está trabajando con las empresas de ciberseguridad CrowdStrike y Mandiant para investigar el incidente, pero parece que a los propios ciberdelincuentes relacionados les va la marcha y han querido ellos mismos contar cómo lo hicieron.

Tal y como han explicado a The Wired, el acceso se hizo a empresas externas y esto permitió a los piratas informáticos violar las cuentas de Snowflake. Según uno de los piratas informáticos del grupo que se hace llamar ShinyHunters, aprovecharon datos obtenidos del sistema de un empleado de la compañía EPAM para acceder a las cuentas de Snowflake.

Ciberseguridad trabajo

Comentar y añadir que casi dos tercios de los 55.000 empleados de EPAM residían en Ucrania, Bielorrusia y Rusia hasta que este último invadió Ucrania, momento en el que la compañía dice que cerró sus operaciones en Rusia y trasladó a algunos de sus trabajadores ucranianos a ubicaciones fuera de ese país.

Los piratas informáticos también se aprovecharon de la falta de autenticación multifactor (MFA) 

Desde luego es algo que coincidiría con las declaraciones iniciales de Snowflake. "No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, mala configuración o violación de la plataforma de Snowflake", comentaban. 

Por otro lado, Mandiant, una de las empresas contratadas por Snowflake también ha confirmado el gran peligro que existe con respecto a estas empresas externas que al final tienen acceso a la cadena de suministro. "Los contratistas que los clientes contratan para ayudarlos con el uso de Snowflake pueden utilizar portátiles personales y/o no monitoreados que exacerban este vector de entrada inicial", comentan.

"Estos dispositivos, que a menudo se utilizan para acceder a los sistemas de múltiples organizaciones, presentan un riesgo importante. Si se ve comprometida por malware de robo de información, el portátil de un solo contratista puede facilitar el acceso de los actores de amenazas en múltiples organizaciones, a menudo con privilegios de nivel de administrador y de IT", añaden.

Brad Jones, CISO de Snowflake, por su parte, ha reconocido que la falta de autenticación multifactor permitió todo este problema. En una llamada con The Wired, explicó que Snowflake está trabajando para dar a sus clientes la capacidad de exigir que los usuarios de sus cuentas empleen autenticación multifactor en el futuro, "y luego buscaremos en el futuro [hacer que] la autenticación sea predeterminada".

Conoce cómo trabajamos en Computerhoy.

Etiquetas: Privacidad, Datos, Ciberseguridad