{"id":296359,"date":"2024-06-17T10:28:18","date_gmt":"2024-06-17T08:28:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296359"},"modified":"2024-06-17T10:28:18","modified_gmt":"2024-06-17T08:28:18","slug":"snowflake-nachlese-hack-von-165-unternehmen-u-a-ticketmaster-santander","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/17\/snowflake-nachlese-hack-von-165-unternehmen-u-a-ticketmaster-santander\/","title":{"rendered":"Snowflake-Nachlese: Hack von 165 Unternehmen (u.a. Ticketmaster, Santander)"},"content":{"rendered":"

\"SicherheitEnde Mai 2024 wurde bekannt, dass die spanische Santander Bank und der Anbieter von Tickets, Ticketmaster, gehackt worden sind. Beide waren Kunden beim Cloud-Anbieter Snowflake, und die Hacks waren (mutma\u00dflich) \u00fcber kompromittierte Benutzerkonten dieses Anbieters m\u00f6glich. Inzwischen wurden 165 Unternehmen \u00fcber potentielle Datenabfl\u00fcsse informiert. L\u00e4uft was bei Snowflake schief? Snowflake bestreitet jegliche Schuld und sagt, dass schwache Benutzerpassw\u00f6rter der beiden Opfer die Ursache f\u00fcr den Hack sind. In der Nachlese werfe ich nochmals einen Blick auf diesen Sachverhalt und zeige, wo Snowflake die Schuld trifft. <\/p>\n

<\/p>\n

Die Ticketmaster-\/Santander-Hacks<\/h2>\n

\"\"Im Beitrag Cybervorf\u00e4lle bei Banken: ABN Amro und Santander (Mai 2024)<\/a> hatte ich berichtet, dass die spanische Bank Santander Opfer eines Hacks wurde, bei dem Millionen von Daten von der Bank exfiltriert wurden. Es handelt sich um eine Datenbank mit 30 Millionen Kundendaten, 64 Millionen Kontonummern und -salden, 28 Millionen Kreditkartennummern, von Santander Chile, Spanien und Uruguay, sowie auf die Daten aller aktuellen und einiger ehemaliger Mitarbeiter, und Informationen \u00fcber die Staatsb\u00fcrgerschaft von Kunden, Zugegriffen wurde. Die Daten wurden in einem Hackerforum f\u00fcr 2.000.000 Dollar zum Verkauf angeboten.<\/p>\n

Bei Ticketmaster handelt es sich um ein amerikanisches Ticketverkaufs- und Vertriebsunternehmen, welches weltweit t\u00e4tig ist. Im Blog-Beitrag Anbieter Ticketmaster gehackt, mehr als 500 Mio-Nutzerdaten entwendet<\/a> hatte ich offen gelegt, dass der Anbieter angeblich von ShinyHunters gehackt wurde. Die Hacker geben an, 560 Millionen Nutzerdaten, Ticketverk\u00e4ufe, Bestellungen, Veranstaltungsinformationen und Kartendaten erbeutet zu haben.<\/p>\n

Beide Opfer Kunden von Snowflake<\/h2>\n

Ich hatte im Blog-Beitrag Hacks bei Santander und Ticketmaster \u00fcber Snowflake-Konten<\/a> angesprochen, dass beide Hacking-Opfer Kunden des Cloud-Anbieters Snowflake waren. Snowflake ist eine Cloud-Plattform (das Unternehmen bezeichnet sich als AI Data Cloud), die von von 9.437 Kunden genutzt wird. Dazu geh\u00f6ren Unternehmen wie Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha und viele andere. <\/p>\n

Es kam schnell der Verdacht auf, dass es einen Sicherheitsvorfall bei Snowflake gegeben haben k\u00f6nnte, und die gehackten Opfer dann eine Folge davon waren. Sicherheitsforscher Kevin Beaumont ging in nachfolgendem Tweet<\/a> und auf Mastodon<\/a> auf den Sachverhalt ein und schrieb, dass Snowflake eine kostenlose Testversion anbiete, bei der sich jeder anmelden und Daten hochladen kann. Und das h\u00e4tten die Thread-Akteure wohl auch getan. <\/p>\n

Laut Beaumont haben die Bedrohungsakteure etwa einen Monat lang Kundendaten mit einem Tool namens Rapeflake abgegriffen. Die Kampagnen m\u00fcssen wohl Mitte April 2024 stattgefunden haben (siehe nachfolgenden Hinweis auf einen Mandiant-Bericht). Beaument merkt an, dass der massenhafte Datenabgriff bei Snowflake von niemand bemerkt wurde. <\/p>\n

Anfang Juni 2024 hat jemand in diesem Medium-Bericht<\/a> das Ganze aufbereitet. Ich selbst hatte im Blog-Beitrag Hacks bei Santander und Ticketmaster \u00fcber Snowflake-Konten<\/a> einiges zu geschrieben, musste aber feststellen, dass der Bericht von Hudson Rock, die mit den Angreifern per Telegram gesprochen haben, aus dem Web verschwunden ist (die Snowflake-Anw\u00e4lte scheinen sich wohl bei Hudson Rock gemeldet zu haben, so dass der Anbieter vorsorglich reagierte und den Beitrag offline nahm). <\/p>\n

Wer hat nun Schuld?<\/h2>\n

Die spannende Frage, die sich f\u00fcr den Beobachter stellt, lautet: \"Wer hat nun Schuld?\" – sind es die Kunden, die ihre Konten bei Snowflake hacken lie\u00dfen, oder tr\u00e4gt der Cloudanbieter eine Mitschuld?<\/p>\n

\"Snowflake<\/a><\/p>\n

Dennis Kipker hat in obigem Tweet<\/a> einen Beitrag<\/a> der Kollegen von Golem aufgegriffen, die das Thema im Nachgang nochmals beleuchten. Was sich inzwischen als gesichert herausgestellt hat (Basis ist dieser Mandiant-Bericht<\/a> vom 10. Juni 2024):<\/p>\n