Tecnologia

cosa è successo a Snowflake – QuiFinanza

Durante la scorsa settimana la società di vendita dei biglietti per gli eventi Bigliettaio e la banca spagnola Santander hanno ammesso di aver subito il furto dei dati dei loro clienti. Da allora, altre aziende come Advance Auto Parts e LendingTree si sono aggiunte alla lista.

Inizialmente non era chiaro come fosse possibile che tutte queste aziende avessero problemi di sicurezza informatica contemporaneamente. Con il passare dei giorni, però, gli indizi cominciarono a puntare verso un’unica società di servizi cloud che avrebbe archiviato i dati di tutte queste società sui propri server: Fiocco di neve.

Cosa è stato rubato: i dati di Ticketmaster e Santander

I primi segni dell’attacco compaiono BreachForum. Si tratta di un sito dove è possibile vendere dati ottenuti illegalmente, che quest’anno erano già stati sequestrati una volta dall’FBI ma sono subito ricomparsi. Il collettivo di hacker che lo gestisce, Cacciatori di Luci, ha dichiarato che attraverso la propria piattaforma erano stati acquistati 560 milioni dei dati del cliente di Ticketmaster e 30 milioni collegabile alla banca Santander.

A queste prime due vittime si sono aggiunte altre due aziende i cui dati sono apparsi sul sito BraeachForums. La prima è stata Advance Auto Parts, un grande fornitore americano di pezzi di ricambio per auto. Poi è arrivata PrestitoAlbero, sito in cui è possibile confrontare diverse offerte di prestito e finanziamento personali. Apparentemente nessuna di queste aziende aveva nulla in comune con l’altra, ma fu presto possibile ricondurle tutte alla stessa azienda: Fiocco di neve.

I primi indizi in tal senso sono arrivati ​​da Bigliettaio, che ha ammesso il furto dei dati dei propri clienti senza confermarne l’entità e affermando che non si è verificata una violazione diretta dei propri sistemi IT, ma di quelli di un fornitore di servizi terzo. Tuttavia, Snowflake continua a mantenere un’elevata riservatezza su quanto accaduto ed è quindi ancora complesso comprendere i dettagli dell’attacco.

Nel frattempo, l’hacker che ha messo in vendita i dati, soprannominato Sp1d3r, attribuito un valore ad alcune delle informazioni rubate. $ 2 milioni per LendingTree e $ 1,5 milioni per Advance Auto Parts.

Come è avvenuto il furto di dati di Snowflake

Al momento gran parte della certezza sull’attacco Snowflake arriva direttamente dall’azienda. In un post sul blog dell’azienda, il capo della sicurezza informatica Brad Jones ha ammesso che gli hacker hanno ottenuto i dati di accesso alle piattaforme cloud tramite malware di infostealing.

Questi virus prendono di mira i dispositivi e poi rubano le credenziali salvate al loro interno. In questo modo il pirata Possono quindi utilizzare o vendere i dati rubati ad altri criminali che li usano per colpire aziende o altre entità. La caratteristica di questo attacco sarebbe stata quella di concentrarsi su account senza autenticazione multifattoriale.

Si tratta di una misura di sicurezza molto diffusa che consente agli utenti di utilizzare due o più dispositivi per accedere ad un account. Molte applicazioni di Home banking lo utilizzano, costringendo gli utenti a utilizzare l’applicazione mobile anche quando desiderano accedere al sito Web tramite il browser del computer. ILAutenticazione multifattoriale Tuttavia, rende il processo di accesso più lungo e macchinoso e quindi a volte gli utenti rinunciano.

Tuttavia, è qui che finisce ciò che è stato scoperto con certezza da Snowflake e dalle società di sicurezza informatica che ha assunto per indagare sul problema. Ad esempio, l’origine delle informazioni utilizzate per accedere ai server non è stata identificata non sarebbero stati rubati né dagli attuali né dagli ex dipendenti.

La società ha affermato di essere certa di poterne escludere anche uno vulnerabilità interna. I sistemi informatici di Snowflake funzionavano quindi come previsto e il danno si sarebbe verificato su altri sistemi, dai quali sarebbero state estratte le credenziali di accesso a Snowflake e rubati i dati delle aziende coinvolte.

Chi è responsabile dell’attacco hacker Snowflake

Non conoscendo l’origine del difetto che ha causato il furto delle credenziali, è anche difficile risalire a chi ha commesso il reato.attacco hackerIl profilo che ha venduto i dati si chiama Sp1d3, nome che farebbe riferimento a un famoso gruppo di criminali informatici adolescenti, Scatterei Spider. Tuttavia, non è ancora stato possibile risalire a un collegamento certo tra i due, anche a causa della confusione che aleggia ancora sull’intera vicenda.

Tuttavia, al momento sembra escluso che dietro l’attacco possano esserci gruppi sostenuti da uno Stato. Negli ultimi anni, infatti, si sono diffusi collettivi di hacker legati ai servizi segreti di paesi come l’Italia Russia o a Cinese, che hanno iniziato ad attaccare le aziende occidentali e le entità statali. Di solito, tuttavia, questi hacker ricorrono a ransomware, un tipo di attacco molto più dannoso del semplice furto. In questo caso, i dati non vengono semplicemente rubati ma anche criptati e se l’azienda in questione vuole avervi nuovamente accesso deve pagare un riscatto.

Solo in caso di rifiuto gli hacker procedono a vendere i dati raccolti sul sito Rete oscura, un processo che richiede più risorse rispetto al semplice riscatto. Non si hanno però notizie di comportamenti di questo tipo da parte di Sp1d3r, che a quanto pare ha saltato la parte del riscatto per passare direttamente alla vendita dei dati, con uno stile di attacco più classico.

Il malware utilizzato per eseguire l’attacco originale che ha permesso di ottenere le credenziali di Snowflake è moderno: un infostealer. La diffusione di questo tipo di virus è tornata molto comune negli ultimi tempi, consentendo agli hacker di recuperare password, numeri di carte di credito o anche semplicemente i cookie, i piccoli pacchetti di dati che i siti inviano al dispositivo di chi li visita per riconoscerlo e accumulare informazioni sulle sue abitudini.

Per porre rimedio a quanto accaduto Snowflake ha consigliato ai propri clienti di attivare sempre l’autenticazione a due fattori su ciascun account. Con questa misura è molto più complesso sottrarre le credenziali di un utente, poiché ogni tentativo di accesso genera un codice valido per alcuni secondi e che compare solo su un dispositivo diverso da quello tramite cui si sta tentando di accedere al sito.

Articoli Correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Pulsante per tornare all'inizio