Qué ha ocurrido con Snowflake, la empresa detrás de los hackeos masivos al Santander y TicketMaster
gettyimages
Empresas como Ticketmaster y Santander se encuentran entre las afectadas por este hackeo masivo que ya se ha catalogado como la mayor violación de datos del año.
Tal y como ya se informó hace unos días, el mundo de la ciberseguridad tiene por delante un nuevo y gran problema a resolver: un ataque dirigido a los clientes de Snowflake, una empresa de almacenamiento en la nube, que, tal y como explican en The Wired, amenaza con convertirse en una de las mayores violaciones de datos de la historia.
Contextualizando, la semana pasada, la compañía informó que ciberdelincuentes intentaron acceder a las cuentas de sus clientes —cuenta con más de 10.000 en todo el mundo, incluido España —utilizando datos de inicio de sesión robados. Entre las empresas afectadas se encuentran Ticketmaster y Santander, cuyos datos se cree que fueron comprometidos a través de las cuentas de esta compañía.
Ellos mismos afirman estar vendiendo datos robados de otras grandes empresas, alegando que la información proviene de las cuentas de Snowflake. Además, TechCrunch ha descubierto cientos de contraseñas de clientes disponibles en Internet.
El ataque ha tenido lugar principalmente en BreachForums, un conocido mercado de piratería. Aunque el FBI lo cerró en mayo, rápidamente apareció una nueva versión, gestionada por el grupo de hackers ShinyHunters. Este grupo ha afirmado estar vendiendo millones de datos de Ticketmaster y Santander.
Por ejemplo, se informó que se estaban vendiendo 1,3 TB de datos de Ticketmaster, incluida la información de más de 560 millones de personas. En cuanto al Santander, se sabe que tienen acceso a 68 millones de cuentas de 30 millones de clientes.
Los hackers han confirmado tener nombres, direcciones, direcciones de correo electrónico, números de teléfono, algunos datos de tarjetas de crédito, venta de entradas, detalles de pedidos y más. Pidieron 500.000 dólares para la base de datos.
El ataque a Snowflake: una violación de datos sin precedentes
Brad Jones, director de seguridad de Snowflake, explicó que los atacantes usaron datos de inicio de sesión obtenidos a través de malware de robo de información. Este tipo de malware extrae nombres de usuario y contraseñas de dispositivos comprometidos. Jones matiza que el ataque se dirigió principalmente a usuarios con autenticación de un solo factor.
Snowflake está trabajando con las empresas de ciberseguridad CrowdStrike y Mandiant para investigar el incidente y, por el momento, no se ha encontrado evidencia de que el ataque haya sido causado por credenciales comprometidas del personal de la compañía.
Las autoridades de ciberseguridad de EEUU y Australia han emitido alertas sobre este grave problema. Snowflake ha instado a todos sus clientes a implementar la autenticación multifactor y a permitir el tráfico solo de usuarios o ubicaciones autorizadas para proteger sus cuentas.
Con sede en EEUU, esta empresa tiene miles de clientes, incluidos Adobe, Canva y Mastercard, que pueden almacenar y analizar grandes cantidades de datos en sus sistemas, por lo que la situación está bastante tensa.
Conoce cómo trabajamos en Computerhoy.
Etiquetas: Malware, España, Ciberseguridad