Opnieuw Snowflake-klant getroffen door datalek

Het aantal klanten van Snowflake dat getroffen is door een datalek, groeit. De oorzaak lijkt echter nog steeds buiten Snowflake zelf te liggen.

Amerikaans bedrijf LendingTree laat weten dat data van dochterbedrijf QuoteWizard in handen zijn gekomen van hackers. Die zouden de gegevens via het Snowflake-account van QuoteWizard bemachtigd hebben. Eerder kwam aan het licht dat ook bij TicketMaster terabytes aan gegevens op straat lagen, net als bij de Spaanse bank Santander. Snowflake is telkens de rode draad.

Aanvankelijk wees beveiligingsbedrijf HudsonRock met beschuldigende vinger naar Snowflake zelf, maar die beschuldigingen zijn intussen ingetrokken na een duidelijke reactie van Snowflake, onderschreven door beveiligingsspecialisten CrowdStrike en Mandiant. Snowflake hamert erop dat er geen kwetsbaarheid of onvoorzichtigheid is uitgebuit in zijn eigen systemen.

Opzoek naar kwetsbare accounts

Wel lijken hackers actief opzoek naar slecht beveiligde klantenaccounts. Concreet gaat het om accounts waar geen vorm van MFA is ingeschakeld. Snowflake verplicht geen MFA voor zijn gebruikers. Via die gerichte campagne zouden hackers zich toegang hebben verworven tot verschillende accounts van de Snowflake-klanten.

Ook een demo-account van Snowflake zelf werd zo overgenomen, maar dat account had volgens het bedrijf geen toegang tot productie-omgevingen zodat er geen impact was op de beveiliging van de bredere datacloud van Snowflake.

Artin Avanes, Director van Product Management bij Snowflake, vertelde tijdens de Snowflake Summit afgelopen week nog aan ITdaily dat Snowflake strikte beheersregels en controlemechanismen heeft uitgerold die moeten voorkomen dat een intern Snowflake-account zomaar toegang krijgt tot klantendata. Dat is voor alle duidelijkheid, ondanks eerdere beweringen van HudsonRock, ook niet gebeurd. Verder geeft hij mee dat klanten de volledige controle hebben over de encryptie van hun gegevens.

Verantwoordelijk voor MFA

De oorzaak van de lekken lijkt dus met redelijk grote zekerheid bij gebrekkig beveiligde accounts van Snowflake-klanten zelf te liggen. Toch valt het op dat Snowflake weinig verantwoordelijkheid neemt, behalve dan een algemene waarschuwing om het belang van MFA en contact achteraf met getroffen klanten.

Systemen om de massale exfiltratie van klantendata proactief te ontdekken, verplichte MFA, of andere mechanismen die de impact van een fout bij de klant zelf kunnen minimaliseren, lijken op dit moment niet te bestaan. Dat is strikt genomen ook niet nodig, al straalt de huidige situatie toch niet zo mooi af op Snowflake zelf. Daar staat tegenover dat er een heel grote verantwoordelijkheid bij de getroffen klanten zelf ligt, indien het inderdaad klopt dat zij Snowflake-accounts gebruikten met toegang tot gevoelige data, zonder enige vorm van MFA.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.