Minstens 165 organisaties zijn getroffen door een recente reeks aanvallen van hackers tegen klanten van cloudbedrijf Snowflake. Dat blijkt uit onderzoek van securitybedrijf Mandiant, dat samen met Snowflake de aanvallen onderzoekt. Er is geen bewijs dat de systemen van Snowflake zelf gekraakt zijn, de aanvallers zouden toegang hebben gekregen via buitgemaakte login-informatie, die soms al jaren oud is.

Onder andere de bedrijven Ticketmaster en Advance Auto Parts zijn getroffen door de aanvallen. Bij Ticketmaster zijn de gegevens van 560 miljoen gebruikers buitgemaakt, bij Advance Auto Parts gaat het om 3 TB aan onder meer klanten-, voorraad- en verkoopdata. Ook de bank Santander meldde een lek. Er is echter niet officieel gedeeld of dit deel uitmaakte van dezelfde reeks aanvallen.

Mandiant heeft de verantwoordelijke hackersgroep geïdentificeerd als UNC5537. Het Google-onderdeel is sinds april met de zaak bezig. Het cybersecuritybedrijf kwam toen gestolen data op het spoor uit een Snowflake-omgeving van een organisatie die verder niet bij naam is genoemd, meldt het bedrijf in een blogpost. In mei bleken meer Snowflake-klanten getroffen. Mandiant lichtte Snowflake toen in en gezamenlijk begonnen de bedrijven een onderzoek. Op 30 mei maakten ze hun voorlopige conclusies openbaar.

Geen lek bij Snowflake zélf

Het lijkt er tot nu toe op te wijzen dat er geen lek zit aan de kant van Snowflake, wat het bedrijf eerder ook al duidelijk maakte in zijn communicatie. De gestolen credentials zijn vermoedelijk afkomstig van infostealer campagnes van soms jaren geleden, waarbij criminelen malware gebruikten om data zoals inloggegevens, persoonlijke identificatiegegevens en andere vertrouwelijke informatie te stelen.

Bron: Mandiant

Deze data is in sommige gevallen behoorlijk oud, de gestolen gegevens gaan dan terug tot zeker 2020. Dat de gegevens nu nog konden worden gebruikt, komt omdat deze niet tussentijds zijn vernieuwd of geroteerd. Ook van belang is dat de getroffen gebruikers geen multifactor-authenicatie gebruikten en geen network-allow lists werden gebruikt, waarbij gebruikers normaal gesproken alleen vanaf een vertrouwde locatie kunnen inloggen.

Ten minste 79,7 procent van de buitgemaakte accountgegevens zijn eerder opgedoken in lijsten van buitgemaakte gegevens. Vrijdag meldde Snowflake dat het een plan ontwikkelt om meer klanten aan de multifactor-authenicatie te krijgen. Ook biedt het bedrijf aanvullende aanwijzingen over hoe te beschermen tegen hackpogingen. Daarnaast hamert het op een systeem van ‘least privilege’, waarbij organisaties strenger kijken naar wie überhaupt toegang moet hebben tot gevoelige data.

Lees ook: Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in