Filtran más 500 contraseñas de clientes de Snowflake vinculadas a la brecha que afectó a Banco Santander y Ticketmaster

Robo de credenciales de inicio de sesión. - Pixabay

   MADRID, 6 Jun. (Portaltic/EP) -

   Investigadores han descubierto una web que incluye más de 500 credenciales de cuentas pertenecientes a clientes de Snowflake, una filtración masiva que guarda relación con la reciente brecha de seguridad que expuso datos de empresas como Banco Santander y Ticketmaster.

    Tal y como se pudo conocer hace unos días, Banco Santander sufrió un "acceso no autorizado" en una base de datos de la entidad alojada en un proveedor externo, que afectó a clientes de España, Chile, Uruguay, además de a todos los empleados del grupo y que podría tener como consecuencia el robo de información de sus clientes.

   La empresa de venta de entradas 'online' TicketMaster también registró un incidente de seguridad similar a finales de mayo, cuando el grupo de 'hackers' ShinyHunters aseguró que tenía en su poder datos de 560 millones de usuarios de esta plataforma, incluyendo direcciones de correo electrónico, números de teléfono e, incluso, datos de las tarjetas bancarias.

   Por otra parte, el servicio de almacenamiento y análisis de datos en la nube Snowflake publicó la semana pasada un comunicado en el que admitía estar investigando, junto con los expertos en ciberseguridad CrowdStrike y Mandiant, una campaña de amenazas dirigida a algunas cuentas de clientes de Snowflake.

   En este sentido, la compañía aseguró que se habían comprometido "un número limitado" de cuentas de clientes, aunque no detalló exactamente cuáles. Además, matizó que no encontraron indicios de que la actividad maliciosa fuese causada por una vulnerabilidad o violación de su plataforma ni que hubieran identificaron evidencias de que el incidente fuese ocasionado por contraseñas comprometidas del personal actual o anterior de la plataforma.

   Asimsimo, Snowflake determinó que "parecía una campaña dirigida a usuarios con autenticación de un solo factor" -es decir, que no contaba con MFA- y que los actores maliciosos habrían aprovechado credenciales previamente compradas u obtenidas mediante un 'malware' de robo de información.

   La organización también detalló que había encontrado evidencias de que un actor malicioso obtuvo credenciales personales y que accedió a cuentas de demostración pertenecientes a un exempleado. Aún así, subrayó que esta cuenta no contenía datos sensibles, ya que las cuentas de demostración no están conectadas a los sistemas corporativos o de producción de Snowflake.

    Recientemente se han identificado más de 500 credenciales de inicio de sesión que presuntamente pertenecen a clientes de Snowflake que están disponibles 'online', lo que quiere decir que da vía libre a los ciberdelincuentes para apropiarse de ellas y utilizarlas en campañas maliciosas.

   Según ha podido saber TechCrunch, los atacantes se hicieron con estas claves mediante un 'malware' de robo de información que infectó los dispositivos de empleados que tienen acceso a las cuentas de sus clientes.

    Entre las claves de acceso incluidas en este directorio estarían algunas pertenecientes a Banco Santander, Ticketmaster, dos gigantes farmacéuticos -que no ha identificado- y un servicio de entrega de alimentos, entre otros. Igualmente, se han identificado nombres de usuario y contraseñas de un exempleado de la propia Snowflake.

    Este medio ha matizado que se desconoce cuándo fueron robadas las credenciales de los empleados, ni cuánto tiempo llevan expuestas 'online', aunque sí han comprobado que las credenciales no contaban con la seguridad que otroga el sistema MFA.

    Conviene decir que Snowflake no impone el uso de la autentificación de doble factor para iniciar sesión a sus clientes, por lo que ha comunicado a TechCrunch que eson estos los "responsables de hacer cumplir MFA con sus usuarios" y ha recomendado habilitar esta solución de seguridad.

    Siguiendo esta línea, la compañía también ha matizado en declaraciones a Europa Press que "ha habido un avance significativo" en la investigación del incidente, y que los expertos en ciberseguridad CrowdStrike y Mandiant están de acuerdo con las conclusiones preliminares que compartió Snowflake, alegando que no ha habido una violación de la plataforma.

   "No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, mala configuración o violación de la plataforma de Snowflake", ha reiterado la organización en un 'email' enviado a Europa Press.