Une grande entreprise spécialisée dans le cloud a été victime d’une intrusion. Les mots de passe de centaines de clients sont apparemment partagées en ligne par des cybercriminels, laissant planer la menace d’une vague de fuites de données…
Snowflake, une entreprise spécialisée dans le stockage dans le cloud, a été victime d’une cyberattaque. Comme l’a révélé la firme américaine la semaine dernière, des cybercriminels sont parvenus à pénétrer dans le compte de certains de ses clients en utilisant des identifiants de connexion compromis.
Fondée en 2012, Snowflake gère et stocke les données des clients de nombreuses entreprises mondiales, comme des banques, des fournisseurs de soins de santé et des groupes du secteur de la technologie. Parmi les clients de la société basée au Montana, on trouve Adobe, Canva, Mastercard, LiveNation et la banque Santander.
À lire aussi : 361 millions de comptes piratés – une fuite massive de données a été découverte
Deux cyberattaques reliées à Snowflake ?
Ces deux dernières entreprises ont été visées par des intrusions informatiques au cours des dernières semaines. LiveNation, la société derrière la plateforme TicketMaster, a enregistré une cyberattaque contre une base de données hébergée par Snowflake. Au terme de l’offensive, les pirates ont disparu avec les données de plus de 500 millions de clients Ticketmaster. Les noms complets, les adresses postales et email, les numéros de téléphone, l’historique des billets achetés, les informations de commande et des informations partielles des cartes bancaires ont été siphonnés.
Suite à cette attaque, Snowflake a assuré qu’il n’y avait pas la moindre preuve que cette « activité soit causée par une vulnérabilité, une mauvaise configuration ou une activité malveillante au sein du produit Snowflake ». La société ajoute qu’un nombre limité de clients ont été affectés lors de la cyberattaque. Ceux-ci ont été prévenus par ses soins.
« Nous n’avons pas identifié de preuves suggérant que cette activité a été causée par des identifiants compromis du personnel actuel ou ancien de Snowflake », ajoute Snowflake.
Peu après, c’est la banque Santander qui s’est retrouvée dans le collimateur des cybercriminels. La société bancaire espagnole indique avoir enregistré « un accès non autorisé à une base de données Santander hébergée par un fournisseur tiers ». Il s’agit vraisemblablement de Snowflake. Les cybercriminels ont pu voler des « informations relatives aux clients de Santander au Chili, en Espagne et en Uruguay, ainsi qu’à tous les employés actuels et à certains anciens employés ».
Des centaines de mots de passe compromis
En dépit des assertions de Snowflake, il semble que des pirates soient parvenus à obtenir des centaines de mots de passe de ses clients. Comme le rapportent nos confrères de TechCrunch, des informations d’identification permettant d’accéder aux bases de données des clients sont disponibles en ligne, à la portée de tous les cybercriminels. Le média déclare avoir consulté « plus de 500 informations d’identification contenant les noms d’utilisateur et les mots de passe des employés » relatifs à des bases de données Snowflake, appartenant notamment à « Santander, à Ticketmaster, au moins deux géants pharmaceutiques, à un service de livraison de nourriture, et à un fournisseur public d’eau douce ».
De facto, on peut craindre que d’autres utilisateurs de Snowflake se retrouvent visés par des cyberattaques dans un avenir proche. D’ailleurs, un cybercriminel a publié des données concernant deux autres entreprises, Advance Auto Parts et LendingTree, et sa filiale QuoteWizard, sur BreachForums. Le hacker assure que les fuites sont liées à l’intrusion chez Snowflake. Plus de 500 millions d’individus sont affectés par ces deux nouvelles brèches, rapporte Wired. Ces informations sont vendues pour 3,5 millions de dollars sur le forum phare des cybercriminels.
Des malwares et pas d’authentification deux facteurs
D’après Snowflake, ces données sensibles ont été récupérées par des logiciels malveillants de type infostealer. Ce type de malware est conçu pour voler des informations sensibles sur les ordinateurs infectés. Interrogé par Wired, Ian Gray, vice-président en charge du renseignement de la société de sécurité Flashpoint, explique que les « infostealers sont devenus plus populaires parce qu’ils sont très demandés et assez faciles à créer ».
Ces virus auraient été installés sur l’ordinateur des employés des entreprises qui collaborent avec Snowflake. C’est de cette manière que les hackers ont pu s’emparer des identifiants. Par contre, il n’y aurait pas de violation directe des systèmes de Snowflake. C’est la théorie mise en avant par l’entreprise.
La société américaine estime aussi que les pirates s’attaquent aux utilisateurs qui n’ont pas pris la peine de configurer l’authentification à deux facteurs. De facto, il suffit d’utiliser les données volées pour se connecter à des bases de données sur le cloud. Malheureusement, Snowflake n’impose pas à ses clients de mettre en place une double authentification. Suite aux intrusions, la société a évidemment conseillé à ses clients de changer leur fusil d’épaule.