Категория
Инновации
Дата

Уроки киберзащиты на опыте Snowflake, у которой хакеры похитили данные 560 млн пользователей. И при чем здесь EPAM. Расследование Wired

5 хв читання

хакери злам хакерська атака /Getty Images

Getty Images

Все мы слышали советы о том, что необходимо менять пароли к своим аккаунтам хотя бы раз в год и ни в коем случае не использовать одинаковый пароль для разных аккаунтов. Но прислушиваемся ли мы к нему? Журнал Wired исследовал кейс компании Snowflake, которая, скорее всего, пострадала из-за украинца в подрядной фирме, чей аккаунт взломали, потому что он очень давно не менял пароль. Forbes пересказывает главное из материала

В начале июня стало известно о вероятно наибольшем похищении данных на сегодняшний день. Хакерская группа ShinyHunters получила доступ к данным 560 млн пользователей разных компаний, хранивших эту информацию в облачной компании Snowflake. Хакер этой группы рассказал Wired, что им это удалось благодаря взлому аккаунта сотрудника подрядной фирмы, обслуживавшей Snowflake.

Разбираем этот кейс, чтобы не попасть на крючок хакеров.

Чем занимается Snowflake?

Snowflake – это фирма, специализирующаяся на хранении и анализе данных, а также предоставляющая инструменты компаниям для получения полезной информации и инсайтов из данных пользователей.

Жертвы ShinyHunters

Потенциальными жертвами могут быть около 165 клиентских аккаунтов Snowflake, но не все названия компаний-клиентов известны.

Точно пострадал банк Santander, признавший, что его данные были похищены, но не сказал, каким образом. Wired самостоятельно обнаружил, что был взломан аккаунт финучреждения в Snowflake. Благодаря этому злоумышленники получили данные о 30 млн клиентов банка, в том числе 6 млн банковских счетов и 28 млн номеров кредиток, и информацию о сотрудниках Santander.

Также о потере конфиденциальности сообщила Ticketmaster, американская компания по продаже билетов на развлекательные мероприятия, работающая в разных странах.

Lending Tree и Advance Auto Parts сообщили, что тоже могут оказаться жертвами этого взлома.

Кто такая EPAM Systems?

EPAM Systems – публичная компания разработки ПО и цифровых услуг, основанная белорусом Аркадием Добкиным. Текущая выручка фирмы, появившейся в 1993-м в США, составляет около $4,8 млрд. В общей сложности на EPAM работает 55 000 человек в Украине и Беларуси, а операции в России, по словам компании, она закрыла после полномасштабного вторжения РФ в Украину.

Клиенты у EPAM есть во всем мире, хотя 60% выручки приходит из Северной Америки. Среди услуг компании – помощь клиентам использовать и управлять их аккаунтами Snowflake для хранения и анализа данных. EPAM утверждает, что 300 ее сотрудников имеют опыт использования инструментов и услуг Snowflake.

Клиенты EPAM работают в ряде важных сфер, таких как финансовые услуги, здравоохранение, телесети, фармацевтика, высокие технологии. Среди самых известных компаний, пользующихся услугами EPAM, можно назвать Microsoft, Google, Adobe и Amazon Web Services. Wired неизвестно, есть ли у какой-то из этих компаний аккаунт в Snowflake, к которому имели доступ сотрудники EPAM.

Как удалось украсть данные?

Хакер из группы ShinyHunters, сам связавшийся с Wired, рассказал, что им удалось выполнить взлом некоторых аккаунтов Snowflake с помощью информации, которую они нашли на компьютере сотрудника EPAM в Украине. Часть логинов и паролей, по словам хакера, они обнаружили записанными плейнтекстом у этого сотрудника, а остальное нашли в сети.

Хакеры перекопали кипу ранее украденных учетных данных, которые были «добыты» в предыдущих взломах с помощью вредоносной программы под названием инфостилер (infostealer). Именно в этих старых кипах они нашли дополнительные логины и пароли к аккаунтам Snowflake – интересно, что некоторые из них украли с компьютера того же работника EPAM.

Wired удалось найти такой онлайн-схрон со старыми украденными данными, в котором были и данные работника EPAM в Украине. Среди них была история его браузера, показывающая его полное имя, внутренний EPAM URL, по которому можно перейти на аккаунт Ticketmaster в Snowflake, а также плейнтекст логина и пароля к этому аккаунту.

Учетные данные, украденные с помощью инфостилеров, часто выкладывают в сеть или продают на хакерских форумах. Если жертвы не меняют эти данные после взлома или просто не знают об этом взломе, то это золотая жила для злоумышленников. Особенно если человек использует одинаковые логины и пароли для нескольких аккаунтов.

Хакеры этого кейса говорят, что некоторые учетные данные, которые они использовали для получения доступа к аккаунтам Snowflake, похитил инфостилер еще в 2020-м.

Вполне возможно, что хакеры ShinyHunters сами не взламывали работника EPAM, а просто купили или взяли данные, ранее украденные инфостилерами. Reddington, переговорщик жертв ShinyHunters с группой о выкупе, рассказал, что нашел в сети данные, которые девять разных инфостилеров использовали для получения данных с компьютеров работников EPAM.

Это вызывает беспокойство относительно безопасности данных клиентов EPAM, но компания через спикера заявила, что не верит в свою причастность к взлому Snowflake, а заявления хакеров назвала дезинформацией.

Как не стать жертвой хакеров: уроки Snowflake

Компания по безопасности Mandiant, принадлежащая Google, среди прочих принялась расследовать дело Snowflake. Из опубликованных ею итогов делаем следующие выводы.

Кибербезопасность вашего подрядчика – это ваша безопасность

Mandiant обнаружила, что некоторые проникновения в систему Snowflake произошли с помощью учетных данных нескольких посторонних подрядчиков – каких именно, не указано.

Поэтому очень важно проверить, заботятся ли ваши сторонние партнеры о своей кибербезопасности, ведь, как видим, от этого зависит основа безопасности и ваших данных.

Знание – это сила

Mandiant обнаружила, что около 80% жертв взлома Snowflake было скомпрометировано благодаря учетным данным, ранее похищенным с помощью инфостилеров и выложенным в сеть.

Если бы EPAM знала, что данные ее сотрудников уже находятся в открытом доступе для злоумышленников, то она бы точно приняла меры для устранения этой угрозы конфиденциальности. Если у вас, как и у Wired, есть возможность проверить даркнет на наличие учетных данных вашей компании и ваших сотрудников, сделайте это.

Личные компьютеры – это потенциальное зло

Работники подрядчиков, которых клиенты используют для помощи со Snowflake, часто работают на личных компьютерах или не находящихся под мониторингом компании-работодателя, отмечает Mandiant. Именно такие девайсы имеют высокий риск попасть под прицел инфостилеров, а если это произойдет, то под угрозой оказываются все организации, на чьи аккаунты заходили из хакнутого девайса.

Когда выбираете подрядчика, поинтересуйтесь, часто ли его сотрудники работают на личных, а не корпоративных девайсах. Установка четких требований к кибербезопасности тех, кому вы доверяете свои данные, может оградить вас от необходимости платить выкуп хакерам.

Не ленитесь менять пароли

Mandiant обнаружила, что сотни учетных данных клиентов Snowflake похищали с помощью инфостилеров еще с 2020-го, а часть из них использовали для этой атаки против облачной компании.

То есть оказывается, что логины и пароли некоторых клиентов Snowflake не меняли около четырех лет. Не повторяйте эту ошибку и найдите время на то, чтобы напомнить себе и своим сотрудникам о важности регулярной смены паролей.

Многофакторная аутентификация

Хакнутые аккаунты Snowflake не использовали многофакторную аутентификацию для более надежной защиты, а потому сделали возможным проникновение злоумышленников, отмечает Mandiant.

Материалы по теме

Вы нашли ошибку или неточность?

Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.

Предыдущий слайд
Следующий слайд