Kennwörter sind nicht mehr vorhanden. Lange Live-Passkeys und MFA.
Wie Sie wahrscheinlich bereits wissen, hat Snowflake Inc. (NYSE: SNOW) in der letzten Woche Schlagzeilen auf der Rückseite einer 8-K-Einreichung von Live Nation Entertainment (Ticketmaster) am 31. Mai 2024 bezüglich nicht autorisierter Aktivitäten in einer Cloud-Datenbank von Drittanbietern gemacht, die als Snowflake gemeldet wurde. Um diesen Beitrag zu starten, wurde Edgio von diesem Angriff nicht betroffen. Angesichts der vielfältigen Auswirkungen dieses Angriffs ist es jedoch wichtig, sich darüber im Klaren zu sein, da einige dies als die „weltweit größte Datenschutzverletzung“ melden.
Wer ist Snowflake?
Lassen Sie uns von Anfang an beginnen. Wer ist Snowflake Inc.? Snowflake ist eine Datenplattform, die Speicherung, Verarbeitung und Analyse in der Cloud ermöglicht. Im letzten Jahr waren sie auf dem Vormarsch, mit Kunden aus allen Branchen, von Capital One über Ticketmaster bis hin zu DoorDash, und nutzten ihre Plattform.
„Eine einzige, globale Plattform, die die KI Data Cloud unterstützt. Snowflake wurde speziell entwickelt, um Unternehmen global zu vernetzen, unabhängig von Art und Größe von Daten und vielen verschiedenen Workloads und ermöglicht eine nahtlose Zusammenarbeit mit Daten.“ ~ https://www.snowflake.com/en/data-cloud/platform/
Was wissen wir?
Dieser Verstoß traf den Mainstream, als Ticketmaster eine 8-K-Datei einreichte, in der die Entdeckung von unberechtigtem Zugriff und unberechtigtem Versickern von Datenbankdatensätzen beschrieben wurde, die in einem Drittanbieter von Cloud-Datenbanken gespeichert sind. Dieser Anbieter war Snowflake und die kompromittierte Datenbank bestand aus über 560 Millionen Datensätzen. Snowflake hat ihren Kunden in einer gemeinsamen Erklärung mit CrowdStrike und Mandiant versichert, dass dies nicht auf einen Verstoß gegen ihre Plattform zurückzuführen ist, sondern darauf, dass Kunden die Multi-Factor Authentication (MFA) nicht nutzen, um ihre Benutzer zu schützen, gekoppelt mit einem anhaltenden Angriff auf Snowflake-Kunden. Dieser Angriff betraf auch die Santander Bank, da sie am 14. Mai 2024 einen unbefugten Zugriff auf ihre Datenbank von Drittanbietern meldete. Darüber hinaus gab es Bedenken, dass dieser Angriff mehrere andere Unternehmen getroffen hat, die noch nicht öffentlich genannt werden müssen.
Bei der Untersuchung von Snowflake stellten sie fest, dass die Anmeldeinformationen eines früheren Mitarbeiters kompromittiert wurden, dass das Konto jedoch nur Zugriff auf Demo-Daten hatte. Es ist erwähnenswert, dass dieses Konto nicht durch MFA geschützt war.
Zeitachse:
- 14. Mai 2024: Die Santander Bank veröffentlicht eine Erklärung, in der sie einen Kompromiss einer Drittdatenbank feststellt.
- 20. Mai 2024 – Ticketmaster erkennt unbefugten Zugriff auf die Datenbank von Drittanbietern.
- 23. Mai 2024: Daten der Santander Bank werden im Dark Web für 2 Millionen US-Dollar veröffentlicht.
- 27. Mai 2024 – Ticketmaster-Daten wurden im Dark Web für 500.000$ veröffentlicht.
- 31. Mai 2024 – Ticketmaster-Dateien 8k.
Warum sollte es mir wichtig sein, wenn ich kein Snowflake-Kunde bin?
Erstens könnten Ihre Daten Teil des gestohlenen Datensatzes gewesen sein. Wenn dies der Fall ist, sollten Passwörter zurückgesetzt, Kreditkarten storniert und Vorkehrungen getroffen werden, um sich und Ihre Familie zu schützen.
Zweitens: Wenn Sie ein SaaS-Anbieter sind, sollten Sie sich mit dem Schutz Ihrer Kunden auseinandersetzen. Die Verantwortung von Drittanbietern war auch ein Thema des Gesprächs, und dieser Verstoß wird diese Diskussion weiter anheizen. Die Schneeflocke wurde nicht verletzt, sie müssen sich jedoch verteidigen, weil die Daten ihrer Kunden auf ihre Sicht kompromittiert wurden. Sehen wir uns an, wie der Markt auf dieses Ereignis reagiert hat.
Erstens ist der Bestand an Schneeflocken in den letzten zwei Wochen um 18,6 % gefallen. Man könnte herausfinden, wann das Wort von Ticketmasters Bruch in die Mainstream-Nachrichten wurde.
Wenn wir uns Live Nation Entertainment ansehen, sehen wir zwar eine Wirkung, aber nicht annähernd so dramatisch wie bei Snowflake.
Es liegt in unserer Verantwortung als SaaS-Anbieter, unsere Kunden zu schützen. Es gibt auch Einschränkungen für unsere Fähigkeit, Kunden zu schützen. Häufig ist es Aufgabe des Endbenutzers, die Lösung so zu konfigurieren, dass keine Kompromisse auftreten. Manchmal erschweren SaaS-Anbieter dies jedoch oder ermöglichen es Benutzern, sich zu leicht in den Fuß zu schießen.
SaaS-Anbieter müssen sicherstellen, dass sie Produkte entwickeln, bei denen die Sicherheit oberste Priorität hat: „Secure by Design“ und „Secure by Default“. Wenn wir uns diese grundlegende Frage stellen:
„Was hätte verhindert, dass dieser Angriff so erfolgreich war?“
Die Antwort, die wir finden, ist einfach: Multifaktor-Authentifizierung (MFA).
Es ist an der Zeit, unsere Kunden aggressiver zu schützen. Access Broker sind seit 2020 ein wichtiger Bestandteil des technischen Ökosystems geworden, und Verstöße wie dieser halten sie weiterhin im Rampenlicht. Es gibt jedoch eine grundlegende Vorsorgemaßnahme, die jeder ergreifen sollte, um sein Risiko eines Verstoßes zu verringern, und das ist, die MFH obligatorisch zu machen.
Wie bei Passwörtern sollte MFA nicht mehr optional sein.
Anbieter sollten dies ernst nehmen, da Snowflake Hitze bekommt, weil ihre Benutzer ohne MFA auf ihre Lösung zugreifen können. Wir bei Edgio arbeiten daran, dass neue Benutzer ohne Multi-Faktor-Authentifizierung nicht mehr erstellt werden können. Damit sollen unsere Kunden geschützt werden. Nach dem Mantra „Secure by Default“ leben.
Wichtige Erkenntnisse aus diesem Verstoß:
- Durch den Vorfallsreaktionsprozess wurde festgestellt, dass die Anmeldedaten eines Snowflake Solution Engineers gestohlen wurden.
- Snowflake behauptet, dass das Konto nur Zugriff auf Demo-Daten hatte, keinen Zugriff auf Produktionsdaten.
- Das gestohlene Benutzerkonto wurde nicht mit MFA (Multi-Factor Authentication) geschützt.
- Die Zugangsdaten wurden durch Info-Stealer-Malware gestohlen.
- Eine fortlaufende Angriffskampagne, die auf Snowflake-Kunden/Benutzer abzielt, findet bedauerlichen Erfolg, da Endbenutzer MFA nicht aktiviert haben.
Was sollten Unternehmen angesichts dieses Verstoßes tun? Welche Fragen sollten sie stellen?
- Wissen Sie, ob einer Ihrer Mitarbeiter durch Malware zum Diebstahl von Informationen oder durch Malware, die zu Keylogging geführt haben könnte, gefährdet wurde?
- Wenn ja, haben Sie seit dieser Kompromittierung das Zurücksetzen von Passwörtern erzwungen?
- Hat eine Ihrer Abteilungen überprivilegierte Benutzer? Wie schützen Sie diese Benutzerkonten? Wie schützen Sie diese Benutzer?
- Erzwingen Sie MFA für alle Ihre internen und Drittanbieteranwendungen? Dies bedeutet auch diejenigen, die nicht hinter Ihrem SSO stehen.
- Lesen und verstehen Sie Snowflake IOC’s: https://community.snowflake.com/s/article/Communication-ID-0108977-Additional-Information
Zusammenfassend lässt sich feststellen, dass die jüngste Datenschutzverletzung von Snowflake die entscheidende Bedeutung robuster Sicherheitsmaßnahmen unterstreicht, insbesondere die Einführung der Multifaktor-Authentifizierung (MFA). Da sich Cyberbedrohungen immer weiter entwickeln, reicht es nicht mehr aus, sich ausschließlich auf Passwörter zu verlassen. Wir bei Edgio erkennen die Notwendigkeit eines „Secure by Default“-Ansatzes, um die digitalen Vermögenswerte unserer Kunden zu schützen. Indem wir MFA verbindlich machen und unsere Sicherheitsprotokolle kontinuierlich verbessern, wollen wir uns vor unbefugtem Zugriff schützen und das Risiko von Verstößen verringern. Unsere Sicherheitsexperten unterstützen Sie bei der Stärkung Ihrer Abwehr und stellen sicher, dass Ihr Unternehmen auch gegen neue Bedrohungen widerstandsfähig bleibt.