Fotomontaje con el logo de Snowflake.

Fotomontaje con el logo de Snowflake. NC/Snowflake Omicrono

Software

Filtran cientos de contraseñas de clientes de Snowflake vinculadas a los hackeos a Ticketmaster y Santander

Entre los datos expuestos también están mails o nombres de usuarios de empleados que tienen acceso a la plataforma de datos en la nube.

7 junio, 2024 12:40

Los hackeos dirigidos a empresas están a la orden del día en España, donde el año pasado se dieron 7 ciberataques de media por compañía. En el mes de mayo salieron a ataques a firmas como Iberdrola, Santander y hasta Telefónica; y fuera del país ha sido muy sonado el caso de Ticketmaster. Y aunque a comienzos de junio todo se originó debido a un ataque a Snowflake, una importante plataforma de datos en la nube; ahora se ha revelado que más de 500 contraseñas de este servicio se han filtrado.

Snowflake está en el punto de mira debido a una serie de presuntos robos de datos. El gigante, con sede en Boston (Estados Unidos), ayuda a algunas de las corporaciones globales más grandes, entre las que se incluyen bancos o compañías de tecnología, a almacenar y analizar sus grandes cantidades de datos en la nube, como de clientes. La semana pasada las autoridades australianas señalaron que se habían enterado de "compromisos exitosos de varias empresas que utilizan entornos Snowflake", sin llegar a nombrarlas. 

Los hackers habían afirmado en un conocido foro sobre delitos cibernéticos haber robado cientos de millones de datos de registro de clientes del Santander y de Ticketmaster, que son dos de los mayores clientes de Snowflake. El banco español confirmó que había sufrido una violación de una base de datos "alojado por un proveedor externo"; y, por su parte, Reside Nation señaló que su filial fue pirateada y que la base de datos estaba alojada en Snowflake.

El letrero de una oficina del Banco Santander.

El letrero de una oficina del Banco Santander. Shutterstock

Snowflake reconoció que tenía conocimiento de un "acceso potencialmente no autorizado" a un "número limitado" de cuentas de clientes, pero no especificó cuáles, y no encontraron evidencia de que hubiera una violación directa de sus sistemas. Ahora, el medio TechCrunch, señala que esta semana ha visto que cientos de supuestas credenciales de clientes de la plataforma de datos en la nube están disponibles online para que los hackers las usen como parte de campañas de piratería; lo que sugiere que el riesgo de que se comprometan la cuenta de esos clientes es mayor de lo que se creía.

Unos datos que han sido robados mediante un malware o programa informático de robo de información que infectó los ordenadores de los empleados que tienen acceso al entorno Snowflake de las compañías. No sólo eso, sino que el mismo medio apunta que algunas de estas credenciales filtradas parecen pertenecer a trabajadores de empresas que se sabe que son clientes de la plataforma de datos en la nube, entre los que se incluyen Ticketmaster y el Banco Santander.

El mismo medio también apunta a que los empleados con acceso a Snowflake incluyen ingenieros de bases de datos y analistas de datos, algunos de los cuales hacen referencia a su experiencia en sus páginas de LinkedIn. Por el momento, Snowflake ha dicho a sus clientes que activen inmediatamente una autenticación multifactor (MFA, por sus siglas en inglés) para iniciar sesión en sus cuentas; y que explican que las cuentan que no lo tengan puesto ponen sus datos almacenados en riesgo de verse comprometidos por ataques simples, como el robo y la reutilización de contraseñas.

TechCrunch señala que en total ha visto más de 500 credenciales que contienen nombres de usuario o direcciones de correo electrónico y contraseñas de empleados, junto con las direcciones net de las páginas de inicio de sesión para los entornos Snowflake correspondientes. Unos datos que se desconoce si está actualmente en uso activo o no, y cuándo fueron robadas y el tiempo que estuvieron expuestas en Internet.