De plus en plus de clients de Snowflake sont touchés par une violation de données. Cependant, il semble que la cause ne soit pas à chercher du côté de Snowflake.
La société américaine LendingTree révèle que des données de sa filiale QuoteWizard sont tombées entre les mains de pirates. Ces derniers auraient obtenu les données via le compte Snowflake de QuoteWizard. Plus tôt, on a appris qu’il y avait des téraoctets de données volées à TicketMaster, tout comme à la banque espagnole Santander. Le fil conducteur: Snowflake.
Au départ, la société de sécurité HudsonRock a accusé Snowflake elle-même, mais ces accusations ont été retirées après que la société a donné une réponse claire, confirmée par les spécialistes de la sécurité CrowdStrike et Mandiant. Snowflake insiste sur le fait qu’aucune vulnérabilité ou négligence n’a été exploitée dans ses propres systèmes.
Identifier les comptes vulnérables
Cependant, les pirates semblent rechercher activement des comptes clients mal sécurisés. Plus précisément, il s’agit de comptes pour lesquels aucune forme d’AMF n’est activée. Les utilisateurs de Snowflake sont libres de ne pas utiliser l’option AMF. Grâce à cette campagne ciblée, les pirates auraient accédé à plusieurs comptes de clients de Snowflake.
Un compte de démonstration de Snowflake a aussi été piraté, mais ce compte n’avait pas accès aux environnements de production, selon l’entreprise. La sécurité du cloud de données de Snowflake n’a donc pas été affectée.
Artin Avanes, directeur de la gestion des produits chez Snowflake, a déclaré à ITdaily lors du Snowflake Summit la semaine dernière que Snowflake avait mis en place des règles de gestion et des contrôles stricts afin d’empêcher tout compte interne Snowflake d’accéder simplement aux données des clients. Précisons que, malgré les affirmations antérieures de HudsonRock, cela ne s’est pas produit non plus. Il ajoute que les clients ont un contrôle total sur le chiffrement de leurs données.
Responsable pour l’AMF
La cause des fuites semble donc, à juste titre, résider dans les comptes mal sécurisés des clients de Snowflake eux-mêmes. Pourtant, il est remarquable que Snowflake ne prenne que peu de responsabilités, à part un avertissement général soulignant l’importance de l’AMF et contactant les clients concernés par la suite.
Les systèmes de détection proactive de l’exfiltration massive des données des clients, l’AMF obligatoire ou d’autres mécanismes susceptibles de minimiser l’impact d’une erreur sur le client lui-même ne semblent pas exister à l’heure actuelle. Au sens strict, cela n’est pas non plus nécessaire, bien que la situation actuelle ne soit pas très glorieuse pour Snowflake elle-même. D’autre part, une très grande responsabilité incombe aux clients concernés eux-mêmes, s’il est vrai qu’ils utilisaient des comptes Snowflake donnant accès à des données sensibles, sans aucune forme d’AMF.