Les problèmes de sécurité de Snowflake suite à une récente série de vols de données clients sont, pour ne pas dire autre chose, en train de prendre de l'ampleur.

Après que Ticketmaster ait été la première entreprise à relier son récent vol de données à la société de données cloud Snowflake, le site de comparaison de prêts LendingTree a maintenant confirmé que sa filiale QuoteWizard avait eu des données volées à Snowflake.

« Nous pouvons confirmer que nous utilisons Snowflake pour nos opérations commerciales et que nous avons été informés par eux que notre filiale, QuoteWizard, pourrait avoir eu des données impactées par cet incident », a déclaré Megan Greuling, une porte-parole de LendingTree, à TechCrunch.

« Nous prenons ces questions au sérieux et immédiatement après avoir été informés [par Snowflake], nous avons lancé une enquête interne », a déclaré le porte-parole. « À ce stade, il ne semble pas que les informations des comptes financiers des consommateurs aient été impactées, ni les informations de l'entité parent, LendingTree », a ajouté le porte-parole, refusant de faire d'autres commentaires en raison de son enquête en cours.

Alors que plus de clients concernés se manifestent, Snowflake n'a pas dit grand-chose au-delà d'une brève déclaration sur son site web réitérant qu'il n'y avait pas eu de violation de données de ses propres systèmes, mais que ses clients n'utilisaient pas d'authentification multi-facteurs, ou MFA - une mesure de sécurité que Snowflake n'impose pas ou n'exige pas à ses clients d'activer par défaut. Snowflake a lui-même été pris au dépourvu par l'incident, déclarant qu'un compte « de démonstration » d'un ancien employé avait été compromis car il était protégé uniquement par un nom d'utilisateur et un mot de passe.

Dans une déclaration publiée vendredi, Snowflake a maintenu forte sa position jusqu'à présent, déclarant que sa position « reste inchangée ». Citant sa déclaration précédente de dimanche, le responsable de la sécurité des informations de Snowflake, Brad Jones, a déclaré qu'il s'agissait d'une « campagne ciblée dirigée contre les utilisateurs avec une authentification à facteur unique » et qu'utilisant des informations d'identification volées à partir de logiciels malveillants infosteaurs ou obtenues à partir de violations de données précédentes.

Le manque d'authentification multi-facteurs semble être la manière dont les cybercriminels ont téléchargé de grandes quantités de données des environnements clients de Snowflake, qui n'étaient pas protégés par la couche de sécurité supplémentaire.

Plus tôt cette semaine, TechCrunch a trouvé en ligne des centaines d'identifiants clients Snowflake volés par des logiciels malveillants volant des mots de passe qui ont infecté les ordinateurs des employés ayant accès à l'environnement de leur employeur sur Snowflake. Le nombre d'identifiants suggère qu'il existe un risque pour les clients de Snowflake qui n'ont pas encore changé leurs mots de passe ou activé l'authentification multi-facteurs.

Tout au long de la semaine, TechCrunch a envoyé plus d'une douzaine de questions à Snowflake concernant l'incident en cours affectant ses clients alors que nous continuons à couvrir l'histoire. Snowflake a refusé de répondre à nos questions à au moins six reprises.

Voici quelques-unes des questions que nous posons, et pourquoi.

On ne sait pas encore combien de clients de Snowflake sont affectés ni si Snowflake le sait encore.

Snowflake a déclaré à ce jour avoir informé un « nombre limité de clients de Snowflake » qui, selon la société, pourraient avoir été affectés. Sur son site web, Snowflake indique qu'elle compte plus de 9 800 clients, y compris des entreprises technologiques, des opérateurs télécoms et des prestataires de soins de santé.

La porte-parole de Snowflake, Danica Stanczak, a refusé de dire si le nombre de clients affectés se chiffrait en dizaines, dizaines, centaines ou plus.

Il est probable qu'en dépit de la poignée de violations de données client rapportées cette semaine, nous en soyons encore aux premiers jours de la compréhension de l'ampleur de cet incident.

Il n'est peut-être même pas clair pour Snowflake combien de ses clients sont déjà affectés, car la société devra soit se fier à ses propres données, comme les journaux, soit obtenir directement des informations d'un client affecté.

On ne sait pas depuis quand Snowflake aurait pu être au courant des intrusions dans les comptes de ses clients. La déclaration de Snowflake mentionne qu'elle a pris conscience le 23 mai de l'activité de menace, c'est-à-dire l'accès aux comptes client et le téléchargement de leur contenu, mais a ensuite trouvé des preuves d'intrusions remontant à une période de temps pas plus spécifique que mi-avril, suggérant que la société dispose de certaines données sur lesquelles s'appuyer.

Cela laisse cependant ouverte la question de savoir pourquoi Snowflake n'a pas détecté à l'époque l'exfiltration de grandes quantités de données clients depuis ses serveurs jusqu'à bien plus tard en mai, ou si elle l'a fait, pourquoi Snowflake n'a pas alerté publiquement ses clients plus tôt.

Mandiant, la société d'intervention en cas d'incident, que Snowflake avait appelée pour aider à la communication avec ses clients, a déclaré à Bleeping Computer fin mai qu'elle aidait déjà des organisations affectées depuis « plusieurs semaines ».

Nous ne savons toujours pas ce qui se trouvait dans le compte de démonstration de l'ancien employé de Snowflake, ni si cela est pertinent pour les violations de données client.

Une ligne clé de la déclaration de Snowflake indique : « Nous avons trouvé des preuves qu'un acteur de menace avait obtenu des informations d'identification personnelles et avait accédé à des comptes de démonstration appartenant à un ancien employé de Snowflake. Il ne contenait pas de données sensibles. »

Certains des identifiants clients volés liés à des logiciels malveillants volant des informations appartiennent à un ancien employé de Snowflake, selon un examen effectué par TechCrunch.

Comme nous l'avons déjà noté, TechCrunch ne nomme pas l'employé car il n'est pas clair qu'il ait fait quelque chose de mal. Le fait que Snowflake ait été surpris par son propre manque d'application de l'authentification multi-facteurs permettant aux cybercriminels de télécharger des données depuis le compte de « démonstration » d'un ancien employé en utilisant uniquement leur nom d'utilisateur et mot de passe met en lumière un problème fondamental dans le modèle de sécurité de Snowflake.

Cependant, il n'est toujours pas clair quel rôle, le cas échéant, que ce compte de démonstration a dans les vols de données client car on ne sait pas encore quelles données y étaient stockées, ni si elles contenaient des données d'autres clients de Snowflake.

Snowflake a refusé de dire quel rôle, le cas échéant, le compte de démonstration de l'ancien employé de Snowflake a dans les récentes violations de données client. Snowflake a réitéré que le compte de démonstration « ne contenait pas de données sensibles », mais a refusé à plusieurs reprises de dire comment la société définit ce qu'elle considère comme des « données sensibles ».

Nous avons demandé si Snowflake pense que les informations personnellement identifiables des individus sont des données sensibles. Snowflake a refusé de commenter.

Il n'est pas clair pourquoi Snowflake n'a pas réinitialisé proactivement les mots de passe ni exigé et appliqué l'utilisation de l'authentification multi-facteurs sur les comptes de ses clients.

Il n'est pas rare que les entreprises réinitialisent de force les mots de passe de leurs clients suite à une violation de données. Mais si on demande à Snowflake, il n'y a pas eu de violation. Et bien que cela puisse être vrai dans le sens où il n'y a pas eu de compromission apparente de son infrastructure centrale, les clients de Snowflake sont bien victimes de fuites de données.

Le conseil de Snowflake à ses clients est de réinitialiser et faire tourner les identifiants Snowflake et d'exiger l'authentification multi-facteurs sur tous les comptes. Snowflake a précédemment déclaré à TechCrunch que ses clients sont responsables de leur propre sécurité : « Dans le cadre du modèle de responsabilité partagée de Snowflake, les clients sont responsables de l'application de l'authentification multi-facteurs avec leurs utilisateurs. »

Mais puisque ces vols de données client de Snowflake sont liés à l'utilisation de noms d'utilisateur et de mots de passe volés de comptes qui ne sont pas protégés par l'authentification multi-facteurs, il est surprenant que Snowflake n'ait pas intervenu en faveur de ses clients pour protéger leurs comptes en réinitialisant les mots de passe ou en appliquant l'authentification multi-facteurs de force.

Cela n'est pas sans précédent. L'année dernière, des cybercriminels ont raclé 6,9 millions d'enregistrements d'utilisateurs et génétiques des comptes 23andMe qui n'étaient pas protégés par l'authentification multi-facteurs. 23andMe a réinitialisé les mots de passe des utilisateurs par précaution pour éviter d'autres attaques de raclage, et a ensuite exigé l'utilisation de l'authentification multi-facteurs sur tous les comptes de ses utilisateurs.

Nous avons demandé à Snowflake si la société prévoyait de réinitialiser les mots de passe des comptes de ses clients pour éviter d'autres intrusions possibles. Snowflake a refusé de commenter.

Il semble que Snowflake se dirige vers la mise en place de l'authentification multi-facteurs par défaut, selon le site d'actualités technologiques Runtime, citant le PDG de Snowflake, Sridhar Ramaswamy, dans une interview cette semaine. Ce fait a été confirmé ultérieurement par le directeur de la sécurité des informations de Snowflake, Jones, dans la mise à jour du vendredi.

« Nous élaborons également un plan pour exiger de nos clients qu'ils mettent en œuvre des contrôles de sécurité avancés, comme l'authentification multi-facteurs (MFA) ou les politiques réseau, en particulier pour les comptes clients privilégiés de Snowflake », a déclaré Jones.

Aucun délai n'a été donné pour le plan.

Voulez-vous en savoir plus sur les intrusions de comptes Snowflake ? Contactez-nous. Pour contacter ce journaliste, contactez-nous sur Signal et WhatsApp au +1 646-755-8849, ou par e-mail. Vous pouvez également envoyer des fichiers et des documents via SecureDrop.