Ende Mai 2024 wurde bekannt, dass die spanische Santander Bank und der Anbieter von Tickets, Ticketmaster, gehackt worden sind. Beide waren Kunden beim Cloud-Anbieter Snowflake, und die Hacks waren (mutmaßlich) über kompromittierte Benutzerkonten dieses Anbieters möglich. Inzwischen wurden 165 Unternehmen über potentielle Datenabflüsse informiert. Läuft was bei Snowflake schief? Snowflake bestreitet jegliche Schuld und sagt, dass schwache Benutzerpasswörter der beiden Opfer die Ursache für den Hack sind. In der Nachlese werfe ich nochmals einen Blick auf diesen Sachverhalt und zeige, wo Snowflake die Schuld trifft.
Anzeige
Die Ticketmaster-/Santander-Hacks
Im Beitrag Cybervorfälle bei Banken: ABN Amro und Santander (Mai 2024) hatte ich berichtet, dass die spanische Bank Santander Opfer eines Hacks wurde, bei dem Millionen von Daten von der Bank exfiltriert wurden. Es handelt sich um eine Datenbank mit 30 Millionen Kundendaten, 64 Millionen Kontonummern und -salden, 28 Millionen Kreditkartennummern, von Santander Chile, Spanien und Uruguay, sowie auf die Daten aller aktuellen und einiger ehemaliger Mitarbeiter, und Informationen über die Staatsbürgerschaft von Kunden, Zugegriffen wurde. Die Daten wurden in einem Hackerforum für 2.000.000 Dollar zum Verkauf angeboten.
Bei Ticketmaster handelt es sich um ein amerikanisches Ticketverkaufs- und Vertriebsunternehmen, welches weltweit tätig ist. Im Blog-Beitrag Anbieter Ticketmaster gehackt, mehr als 500 Mio-Nutzerdaten entwendet hatte ich offen gelegt, dass der Anbieter angeblich von ShinyHunters gehackt wurde. Die Hacker geben an, 560 Millionen Nutzerdaten, Ticketverkäufe, Bestellungen, Veranstaltungsinformationen und Kartendaten erbeutet zu haben.
Beide Opfer Kunden von Snowflake
Ich hatte im Blog-Beitrag Hacks bei Santander und Ticketmaster über Snowflake-Konten angesprochen, dass beide Hacking-Opfer Kunden des Cloud-Anbieters Snowflake waren. Snowflake ist eine Cloud-Plattform (das Unternehmen bezeichnet sich als AI Data Cloud), die von von 9.437 Kunden genutzt wird. Dazu gehören Unternehmen wie Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha und viele andere.
Es kam schnell der Verdacht auf, dass es einen Sicherheitsvorfall bei Snowflake gegeben haben könnte, und die gehackten Opfer dann eine Folge davon waren. Sicherheitsforscher Kevin Beaumont ging in nachfolgendem Tweet und auf Mastodon auf den Sachverhalt ein und schrieb, dass Snowflake eine kostenlose Testversion anbiete, bei der sich jeder anmelden und Daten hochladen kann. Und das hätten die Thread-Akteure wohl auch getan.
Anzeige
Laut Beaumont haben die Bedrohungsakteure etwa einen Monat lang Kundendaten mit einem Tool namens Rapeflake abgegriffen. Die Kampagnen müssen wohl Mitte April 2024 stattgefunden haben (siehe nachfolgenden Hinweis auf einen Mandiant-Bericht). Beaument merkt an, dass der massenhafte Datenabgriff bei Snowflake von niemand bemerkt wurde.
Anfang Juni 2024 hat jemand in diesem Medium-Bericht das Ganze aufbereitet. Ich selbst hatte im Blog-Beitrag Hacks bei Santander und Ticketmaster über Snowflake-Konten einiges zu geschrieben, musste aber feststellen, dass der Bericht von Hudson Rock, die mit den Angreifern per Telegram gesprochen haben, aus dem Web verschwunden ist (die Snowflake-Anwälte scheinen sich wohl bei Hudson Rock gemeldet zu haben, so dass der Anbieter vorsorglich reagierte und den Beitrag offline nahm).
Wer hat nun Schuld?
Die spannende Frage, die sich für den Beobachter stellt, lautet: "Wer hat nun Schuld?" – sind es die Kunden, die ihre Konten bei Snowflake hacken ließen, oder trägt der Cloudanbieter eine Mitschuld?
Dennis Kipker hat in obigem Tweet einen Beitrag der Kollegen von Golem aufgegriffen, die das Thema im Nachgang nochmals beleuchten. Was sich inzwischen als gesichert herausgestellt hat (Basis ist dieser Mandiant-Bericht vom 10. Juni 2024):
- Inzwischen wurden 165 Unternehmen vom Cloudanbieter Snowflake über einen potentiellen Datenabfluss informiert (es waren also nicht nur die beiden oben genannten Opfer).
- Eines der Opfer ist wohl Pure Storage, denen ein Snowflake-Data-Analytics-Workspace-Konto geknackt wurde, wie diesem Sicherheitshinweis zu entnehmen ist. Dort wurden zwar keine Zugangsdaten für Kunden erbeutet, sondern Informationen zum Kundensupport (Firmennamen, LDAP-Nutzernamen, E-Mail-Adressen etc.).
- Beim Datenabfluss wurden wohl auch Zugangsdaten von Kunden bei Snowflake erbeutet, und über diese Zugangsdaten scheinen die Angreifer irgendwie auch in die Opfersysteme eingedrungen zu sein.
- Alle abgeflossenen Zugangsdaten wurden wohl per Infostealer-Malware, wie Mandiant hier schreibt, (oder per Phishing, was ich mir auch vorstellen kann, siehe folgende Ausführungen) abgegriffen. Und die betroffenen Snowflake-Konten waren nicht mit einer Multi-Faktor-Authentifizierung (MFA) gesichert.
- Es ist inzwischen wohl auch weitgehend klar, dass es keine Schwachstelle und keinen Hack bei Snowflake selbst in deren Infrastruktur gegeben hat.
Der Mandiant -Beitrag ist da sehr aufschlussreich und enthält eine Menge an Details. An dieser Stelle könnte man nun von Kundenversagen ausgehen, da Snowflake eine Multi-Faktor-Authentifizierung (MFA) anbietet. Allerdings werfen Sicherheitsforscher wie Kevin Beaumont dem Cloudanbieter eine Mitschuld vor.
- Denn ein Administrator kann beim Anbieter Snowflake die Multi-Faktor-Authentifizierung (MFA) nicht organisationsübergreifend aktivieren und Benutzer ohne MFA aussperren. Nur der Nutzer hat die Möglichkeit, nach einer Anmeldung MFA zu aktivieren.
- Weiterhin seien alle Kunden unter der Subdomain *.snowflakecomputing.com zur Anmeldung gezwungen gewesen, mein Beaumont. Das sei der Grund, warum Infostealer eine Menge Anmeldedaten abgreifen konnten.
Zum letztgenannten Punkt führt Beaumont keine Details an, und diese Subdomain zur Nutzeranmeldung ist meines Wissens Standard (niemand generiert individuelle Top-Level-Domains für Kunden, um Cloud-Zugänge zu verwalten). Allerdings impliziert das zwei interessante Aspekte (sofern die Daten nicht auf der Snowflake-Anmeldeseite, z.B. per XSS-Schwachstelle, abgegriffen wurden, was wohl auf Basis bisheriger Informationen ausgeschlossen werden kann):
- Trifft es zu, dass die Zugangsdaten per Infostealer abgegriffen wurden, ist Snowflake unschuldig und hat da nichts mehr in der Hand. Denn die Infostealer sind auf den Clients einige der Opfer installiert worden und haben die Login-Daten abgriffen. Da ist es dann egal, ob die Login-Seite als Subdomain implementiert wurde.
- Mir geht aber noch ein anderer Punkt durch den Kopf. Möglicherweise wurde eine Phishing-Seite für *.snowflakecomputing.com aufgesetzt und potentiellen Opfern eine Phishing-Mail mit Link auf diese Seite geschickt. Fiel das Opfer darauf herein, konnten die Zugangsdaten für das betreffende Snowflake-Konto abgegriffen werden. Mit einer Subdomain und fehlender MFA ist das in meinen Augen ein mögliches Angriffsszenario, um Zugangsdaten abzugreifen und in weiteren Schritte zu missbrauchen. Allerdings habe ich bei Mandiant nichts diesbezüglich gelesen.
Die Diskussion auf Mastodon zwischen Beaumont und Followern bringt da – zumindest beim schnellen Querlesen – keine weitere Aufklärung. Der Fall Snowflake zeigt in meinen Augen aber erneut, wie angreifbar die IT-Infrastruktur vieler Organisationen ist. Die Meldung "wir wurden über einen Drittanbieter gehackt" dürfte also auch in Zukunft noch öfters auftauchen.
Ähnliche Artikel:
Cybervorfälle bei Banken: ABN Amro und Santander (Mai 2024)
Anbieter Ticketmaster gehackt, mehr als 500 Mio-Nutzerdaten entwendet
Hacks bei Santander und Ticketmaster über Snowflake-Konten
Anzeige
