Para peneliti keamanan mengatakan mereka percaya bahwa para penjahat cyber yang mencari keuntungan finansial telah mencuri 'volume data yang signifikan' dari ratusan pelanggan yang menyimpan bank data mereka yang luas dengan raksasa penyimpanan awan Snowflake.

Firma respons insiden Mandiant, yang bekerja sama dengan Snowflake untuk menyelidiki serentetan pencurian data baru-baru ini, mengatakan dalam sebuah pos blog pada hari Senin bahwa kedua perusahaan telah memberitahukan sekitar 165 pelanggan bahwa data mereka mungkin telah dicuri.

Ini adalah pertama kalinya jumlah pelanggan Snowflake yang terkena dampak telah diungkap sejak peretasan akun dimulai pada bulan April. Snowflake belum banyak mengatakan tentang serangan tersebut, hanya bahwa "sejumlah terbatas" pelanggannya terkena dampak. Raksasa data awan tersebut memiliki lebih dari 9.800 pelanggan korporat, seperti organisasi kesehatan, raksasa ritel, dan beberapa perusahaan teknologi terbesar di dunia, yang menggunakan Snowflake untuk analitika data.

Hingga saat ini, hanya Ticketmaster dan LendingTree yang telah mengkonfirmasi pencurian data di mana data yang dicuri mereka dihosting di Snowflake. Beberapa pelanggan Snowflake lainnya mengatakan mereka saat ini sedang menyelidiki kemungkinan pencurian data dari lingkungan Snowflake mereka.

Mandiant mengatakan kampanye ancaman itu "masih berlangsung," menunjukkan bahwa jumlah pelanggan korporat Snowflake yang melaporkan pencurian data dapat meningkat.

Dalam pos blognya, Mandiant mengaitkan peretasan akun tersebut dengan UNC5537, geng kriminal cyber yang belum diklasifikasikan yang menurut firma keamanan dimotivasi oleh uang. Geng ini, yang menurut Mandiant mencakup anggota di Amerika Utara dan setidaknya satu anggota di Turki, berusaha memeras korban mereka untuk membayar agar bisa mendapatkan kembali file mereka atau mencegah rilis publik data pelanggan mereka.

Mandiant mengonfirmasi serangan-serangan tersebut — yang bergantung pada penggunaan "kredensial yang dicuri untuk mengakses instansi Snowflake pelanggan dan akhirnya mengeluarkan data berharga" — sudah dimulai setidaknya sejak 14 April, ketika para peneliti pertama kali mengidentifikasi bukti akses yang tidak sah ke lingkungan pelanggan Snowflake yang tidak disebutkan namanya. Mandiant mengatakan mereka memberitahukan Snowflake tentang intrusi akun pelanggan mereka pada 22 Mei.

Firma keamanan mengatakan sebagian besar kredensial yang dicuri oleh UNC5537 "tersedia dari infeksi infostealer historis," dengan beberapa kredensial berasal dari tahun 2020. Temuan Mandiant memperkuat pengungkapan terbatas Snowflake, yang mengatakan tidak ada pelanggaran langsung terhadap sistem Snowflake sendiri tetapi menyalahkan akun pelanggannya karena tidak menggunakan otentikasi multi faktor (MFA).

Minggu lalu, TechCrunch menemukan beredar online ratusan kredensial pelanggan Snowflake yang dicuri oleh malware yang menginfeksi komputer staf yang memiliki akses ke lingkungan Snowflake milik majikan mereka. Jumlah kredensial yang tersedia online yang terhubung ke lingkungan Snowflake menunjukkan risiko yang berkelanjutan bagi pelanggan yang belum memperbarui kata sandi mereka atau mengaktifkan MFA.

Mandiant mengatakan mereka juga telah melihat "ratusan kredensial pelanggan Snowflake terkena dampak melalui infostealer."

Untuk bagian mereka, Snowflake tidak mewajibkan pelanggan mereka untuk menggunakan secara default atau menegakkan penggunaan fitur keamanan tersebut. Dalam pembaruan singkat pada hari Jumat, Snowflake mengatakan sedang "mengembangkan rencana" untuk menegakkan penggunaan MFA pada akun pelanggannya, namun belum memberikan jadwal waktu.

Juru bicara Snowflake, Danica Stanczak menolak mengatakan mengapa perusahaan belum mengatur ulang kata sandi pelanggan atau menegakkan MFA. Snowflake tidak segera memberikan komentar tentang pos blog Mandiant pada hari Senin.

Apakah Anda tahu lebih banyak tentang peretasan akun Snowflake? Hubungi kami. Untuk menghubungi wartawan ini, hubungi melalui Signal dan WhatsApp di +1 646-755-8849, atau melalui email. Anda juga dapat mengirimkan file dan dokumen melalui SecureDrop.