Problema keamanan Snowflake setelah serangkaian pencurian data pelanggan baru-baru ini, dapat dikatakan, semakin membesar.

Setelah Ticketmaster menjadi perusahaan pertama yang mengaitkan pelanggaran data terbarunya dengan perusahaan data awan Snowflake, situs perbandingan pinjaman LendingTree sekarang memastikan bahwa anak perusahaannya, QuoteWizard, memiliki data yang dicuri dari Snowflake.

“Kami dapat mengonfirmasi bahwa kami menggunakan Snowflake untuk operasi bisnis kami, dan bahwa kami diberitahu oleh mereka bahwa anak perusahaan kami, QuoteWizard, mungkin telah mengalami dampak dari insiden ini,” kata Megan Greuling, juru bicara LendingTree, kepada TechCrunch.

Seiring munculnya lebih banyak pelanggan yang terpengaruh, Snowflake belum mengatakan banyak hal selain pernyataan singkat di situs webnya yang menegaskan bahwa tidak terjadi pelanggaran data dalam sistem mereka sendiri, melainkan pelanggan mereka tidak menggunakan otentikasi multi-faktor, atau MFA — sebuah langkah keamanan yang Snowflake tidak menegakkan atau memaksa pelanggannya untuk mengaktifkannya secara default. Snowflake sendiri terkejut oleh insiden ini, mengatakan akun "demo" mantan karyawan telah dikompromi karena hanya dilindungi dengan nama pengguna dan kata sandi.

Dalam sebuah pernyataan pada hari Jumat, Snowflake tetap teguh dalam responsnya sampai saat ini, menyatakan posisinya “tetap tidak berubah.” Mengutip pernyataan sebelumnya pada hari Minggu, kepala keamanan informasi Snowflake Brad Jones mengatakan bahwa ini adalah “serangan terarah yang ditujukan kepada pengguna dengan otentikasi satu faktor” dan menggunakan kredensial yang dicuri dari malware pencuri informasi atau diperoleh dari pelanggaran data sebelumnya.

Keberadaan MFA tampaknya menjadi cara para penjahat siber mengunduh sejumlah besar data dari lingkungan pelanggan Snowflake, yang tidak dilindungi oleh lapisan keamanan tambahan.

TechCrunch minggu ini menemukan ratusan kredensial pelanggan Snowflake yang dicuri oleh malware pencuri kata sandi yang menginfeksi komputer karyawan yang memiliki akses ke lingkungan Snowflake pengusaha mereka. Jumlah kredensial tersebut menunjukkan bahwa masih ada risiko bagi pelanggan Snowflake yang belum mengubah kata sandi mereka atau mengaktifkan MFA.

Sepanjang minggu, TechCrunch telah mengirimkan lebih dari selusin pertanyaan kepada Snowflake tentang insiden yang sedang berlangsung yang memengaruhi pelanggannya saat kita terus melaporkan kisah ini. Snowflake menolak untuk menjawab pertanyaan kami setidaknya enam kali.

Ini beberapa pertanyaan yang kami ajukan, dan alasannya.

Belum diketahui berapa banyak pelanggan Snowflake yang terkena dampak, atau apakah Snowflake sudah mengetahuinya.

Snowflake mengatakan hingga saat ini telah memberitahukan sejumlah “terbatas dari pelanggan Snowflake” yang menurut perusahaan tersebut mungkin terpengaruh. Di situs webnya, Snowflake mengatakan memiliki lebih dari 9.800 pelanggan, termasuk perusahaan teknologi, operator telekomunikasi, dan penyedia layanan kesehatan.

Juru bicara Snowflake, Danica Stanczak, menolak mengatakan apakah jumlah pelanggan yang terpengaruh dalam puluhan, lusinan, ratusan, atau lebih.

Kemungkinan, meskipun hanya ada beberapa pelanggaran pelanggan yang dilaporkan minggu ini, kita masih berada pada awal pemahaman skala insiden ini.

Mungkin tidak jelas bahkan bagi Snowflake berapa banyak pelanggannya yang terkena dampak, karena perusahaan tersebut harus bergantung pada data internalnya, seperti log, atau mengetahui langsung dari pelanggan yang terkena dampak.

Belum diketahui seberapa cepat Snowflake bisa mengetahui intrusi ke akun pelanggannya. Pernyataan Snowflake mengatakan mereka mengetahui pada tanggal 23 Mei tentang “aktivitas ancaman” — mengakses akun pelanggan dan mengunduh kontennya — namun selanjutnya menemukan bukti intrusi yang berasal dari periode waktu yang tidak lebih spesifik dari pertengahan April, mengindikasikan bahwa perusahaan tersebut memiliki beberapa data untuk diandalkan.

Tetapi itu juga menimbulkan pertanyaan mengapa Snowflake tidak mendeteksi pada saat itu pengeluaran data besar dari pelanggan dari server mereka hingga jauh kemudian di bulan Mei, atau jika iya, mengapa Snowflake tidak memberi tahu pelanggan secara publik lebih awal.

Firma respons insiden Mandiant, yang dipanggil Snowflake untuk membantu dengan outreach ke pelanggan-pelanggannya, mengatakan kepada Bleeping Computer pada akhir Mei bahwa firma tersebut telah membantu organisasi yang terkena dampak selama “beberapa minggu.”

Kita masih belum tahu apa yang ada dalam akun demo mantan karyawan Snowflake, atau apakah relevan dengan pencurian data pelanggan.

Garis kunci dari pernyataan Snowflake mengatakan: “Kami menemukan bukti bahwa pelaku ancaman mendapatkan kredensial pribadi dan mengakses akun demo milik mantan karyawan Snowflake. Ini tidak mengandung data sensitif.”

Beberapa kredensial pelanggan yang dicuri terkait dengan malware pencuri informasi termasuk milik seorang mantan karyawan Snowflake, menurut tinjauan oleh TechCrunch.

Seperti yang telah kami sebutkan sebelumnya, TechCrunch tidak menyebutkan nama karyawan tersebut karena tidak jelas apakah mereka melakukan sesuatu yang salah. Fakta bahwa Snowflake terkejut oleh kurangnya penegakan MFA mereka sendiri yang memungkinkan penjahat siber mengunduh data dari akun “demo” karyawan saat itu menggunakan hanya nama pengguna dan kata sandi mereka menyoroti masalah mendasar dalam model keamanan Snowflake.

Tetapi masih belum jelas peran apa yang dimiliki akun demo mantan karyawan ini dalam pencurian data pelanggan karena belum diketahui apa data yang disimpan di dalamnya, atau apakah berisi data dari pelanggan Snowflake lainnya.

Snowflake menolak mengatakan peran apa, jika ada, yang dimiliki akun demo mantan karyawan Snowflake dalam pelanggaran data pelanggan baru-baru ini. Snowflake mengulangi bahwa akun demo “tidak mengandung data sensitif,” tetapi berulang kali menolak mengatakan bagaimana perusahaan mendefinisikan apa yang dianggapnya sebagai “data sensitif.”

Kami bertanya apakah Snowflake percaya bahwa informasi identifikasi pribadi individu adalah data sensitif. Snowflake menolak berkomentar.

Belum jelas mengapa Snowflake belum secara proaktif mereset kata sandi, atau meminta dan menegakkan penggunaan MFA di akun pelanggannya.

Tidak jarang bagi perusahaan untuk memaksa mereset kata sandi pelanggan mereka setelah terjadinya pelanggaran data. Tetapi jika Anda bertanya kepada Snowflake, tidak ada pelanggaran yang terjadi. Dan meskipun hal itu mungkin benar dalam arti bahwa belum ada kompromi terhadap infrastruktur pusatnya, pelanggan Snowflake sangat terpengaruh.

Saran Snowflake kepada pelanggannya adalah untuk mereset dan mengganti kata sandi Snowflake serta menegakkan MFA pada semua akun. Snowflake sebelumnya mengatakan kepada TechCrunch bahwa pelanggannya bertanggung jawab atas keamanan mereka sendiri: “Dalam model tanggung jawab bersama Snowflake, pelanggan bertanggung jawab untuk menegakkan MFA dengan pengguna mereka.”

Tetapi karena pencurian data pelanggan Snowflake ini terkait dengan penggunaan nama pengguna dan kata sandi yang dicuri dari akun yang tidak dilindungi dengan MFA, tidak biasa bahwa Snowflake belum campur tangan atas nama pelanggannya untuk melindungi akun mereka dengan mereset kata sandi atau menegakkan MFA.

Ini bukan hal yang tidak berdasar. Tahun lalu, penjahat siber mengambil 6,9 juta catatan pengguna dan gen dari akun 23andMe yang tidak dilindungi dengan MFA. 23andMe mereset kata sandi pengguna sebagai langkah pencegahan untuk mencegah serangan lanjutan, dan kemudian meminta penggunaan MFA pada semua akun penggunanya.

Kami bertanya kepada Snowflake apakah perusahaan berencana untuk mereset kata sandi akun pelanggannya untuk mencegah kemungkinan intrusi lebih lanjut. Snowflake menolak berkomentar.

Snowflake tampaknya akan beralih ke menerapkan MFA secara default, menurut situs berita teknologi Runtime, mengutip CEO Snowflake Sridhar Ramaswamy dalam wawancara pekan ini. Hal ini kemudian dikonfirmasi oleh CISO Snowflake Jones pada pembaruan Jumat.

“Kami juga sedang mengembangkan rencana untuk mewajibkan pelanggan kami untuk menerapkan kontrol keamanan lanjutan, seperti otentikasi multi-faktor (MFA) atau kebijakan jaringan, terutama untuk akun pelanggan Snowflake yang berhak khusus,” kata Jones.

Waktu pelaksanaan rencana ini tidak diberikan.

Apa yang kamu ketahui tentang intrusi akun Snowflake? Hubungi kami. Untuk menghubungi reporter ini, hubungi melalui Signal dan WhatsApp di +1 646-755-8849, atau melalui email. Anda juga dapat mengirim file dan dokumen melalui SecureDrop.