Snowflake staat met de rug tegen de muur na datalekken bij twee grote klanten. Het bedrijf ontkent echter met klem dat de oorzaak bij hen zou liggen.
Het online ticketingplatform Ticketmaster meldde vorige week over een grootschalig cyberincident, waarbij hackers met 1,3 TB aan gegevens van 560 miljoen accounts aan de haal gingen. De database is voor een half miljoen dollar te koop op het dark web. Twee weken eerder bekende de Spaanse bank Santander dat het getroffen was door een cyberaanval, met gevolgen voor klanten en ex-werknemers in Spanje, Uruguay en Chili.
Externe provider
Een link tussen deze incidenten lijkt op het eerste zicht ver te zoeken, maar beveiligingsbedrijf HudsonRock meende die gevonden te hebben. Beide organisaties verwijzen in hun officiële communicatie naar ‘onregelmatigheden bij een externe provider’. HudsonRock ging aan het puzzelen en ontdekte dat beide bedrijven klant zijn bij Snowflake.
In een rapport stelde het dat de datalekken zouden veroorzaakt zijn door een gecompromitteerd account van een Snowflake-medewerker. Dat account gaf de aanvaller(s) toegang tot een database met gegevens van honderden klanten. De Australische overheid ging mee in die verklaring en waarschuwde voor ‘verhoogde verdachte activiteit’ richting klanten van het datacloudbedrijf. TechCrunch deed een eigen onderzoek en zegt credentials van honderden vermeenden Snowflake-klantenaccounts te hebben ontdekt.
Snowflake bijt van zich af
Een reactie van Snowflake bleef niet lang uit. Met een statement op dinsdag wast Snowflake de handen in onschuld. Het liet een intern onderzoek uitvoeren en daaruit blijkt volgens het bedrijf dat er geen enkele indicatie is van een ongedicht lek, gestolen credentials of andere oorzaken die een inbraak zouden kunnen hebben veroorzaakt. Het statement is mede ondertekend door CrowdStrike en Mandiant: niet de minste namen in de cybersecuritywereld.
Snowflake zegt niet dat er niets gebeurd is. Als de gegevens daadwerkelijk gestolen zouden zijn uit de datacloud, is dat wellicht het gevolg is van single-factor accountbeveiliging aan klantenzijde, luidt de verklaring. Het bedrijf spoort alle klanten aan MFA in te schakelen. Snowflake geeft ook toe dat er mogelijk wel credentials van een intern ‘demo-account’ kunnen gestolen zijn, maar dit account heeft geen toegang tot waardevolle gegevens.
Hoe de vork nu precies in de steel zit, blijft onduidelijk. HudsonRock heeft zijn staart ook in getrokken en het originele rapport verwijderd, naar eigen zeggen onder legale druk van Snowflake. De timing kon in ieder geval niet slechter voor Snowflake: het organiseert deze week zijn jaarlijkse conferentie in San Francisco. Daar stelde het bedrijf al extra Nvidia-functionaliteiten en de Polaris Catalog voor.