Nicht nur Ticketmaster: Datenlecks bei mehreren Kunden des gleichen Cloudanbieters

Erst kürzlich wurden zwei umfangreiche Datenlecks bei Ticketmaster und der spanischen Bank Santander bekannt. Wie sich nun zeigt, sind die Daten offenbar von den Systemen eines gemeinsamen Cloudanbieters namens Snowflake abgeflossen. Untersuchungen der Sicherheitsforscher von Hudson Rock legen außerdem nahe, dass noch Hunderte weitere Unternehmen betroffen sein könnten.

Die Forscher haben nach eigenen Angaben per Telegram Kontakt zu den Hackern aufgenommen, die die Daten von Ticketmaster und Santander erbeutet und später zum Verkauf angeboten hatten.

Die böswilligen Akteure gaben dabei an, beide Datenlecks seien auf einen einzelnen Angriff auf Snowflake zurückzuführen. Durchgeführt wurde dieser angeblich mit Anmeldeinformationen für das Servicenow-Konto eines Mitarbeiters – erbeutet mit einer Infostealer-Malware vom Typ Lumma.

Hunderte von Snowflake-Kunden potenziell betroffen

Welche Snowflake-Kunden genau von dem Vorfall betroffen sind, ist noch unklar. "Wir gehen davon aus, dass diese Informationen langsam und im Laufe der Zeit bekanntgegeben werden, da die Verhandlungen mit den betroffenen Unternehmen noch andauern", schreiben die Sicherheitsforscher. Auf seiner Webseite gibt Snowflake an, weltweit 9.437 Kunden zu haben – darunter bekannte Marken wie Adobe, Roku, Cisco, Mastercard, EA, Canva, Yamaha, Michelin, Siemens, Axa, Micron und HP.

Die Hacker behaupten, Daten von etwa 400 Snowflake-Kunden abgegriffen zu haben. Zunächst haben sie damit wohl versucht, den Cloudanbieter selbst zu erpressen. "Snowflake könnte mir einfach 20 Millionen Dollar zahlen und uns allen Zeit sparen", schreibt einer der Angreifer auf Telegram. Snowflake scheint allerdings bisher nicht darauf eingegangen zu sein, so dass die Hacker nun direkt an die Kunden des Unternehmens herantreten.

Auch aus anderen Quellen gibt es Hinweise auf weitere betroffene Snowflake-Kunden. So erklärte etwa der Mandiant-CTO Charles Carmakal gegenüber Bleeping Computer, das IT-Sicherheitsunternehmen Mandiant habe in den letzten Wochen mehrere Unternehmen, deren bei Snowflake gespeicherten Daten kompromittiert wurden, unterstützt. Und auch der Sicherheitsforscher Kevin Beaumont behauptet auf Mastodon, ihm hätten inzwischen sechs große Organisationen bestätigt, von dem Vorfall betroffen zu sein.

Snowflake bestreitet Angaben der Hacker

Der Snowflake-CISO Brad Jones weist die Behauptungen der Angreifer derweil zurück und erklärt in einer Mitteilung, Snowflake gehe bislang nicht davon aus, selbst die Quelle der Datenlecks seiner Kunden zu sein. Es gebe keine Beweise dafür, dass "diese Aktivitäten durch eine Schwachstelle, eine Fehlkonfiguration oder eine böswillige Aktivität innerhalb des Snowflake-Produkts" verursacht wurden.

Stattdessen nimmt der Cloudanbieter an, dass die Angriffe auf die Konten der Kunden selbst abzielen. Die Datenlecks seien "das Ergebnis von branchenweiten, identitätsbasierten Angriffen, die darauf abzielen, an Kundendaten zu gelangen", so Jones. Die Angreifer hätten zwar ein Konto eines ehemaligen Mitarbeiters infiltriert, jedoch habe es sich dabei lediglich um ein Demo-Konto gehandelt. Dieses sei nicht durch Okta oder eine Multi-Faktor-Authentifizierung (MFA) geschützt gewesen und habe keine sensiblen Daten enthalten.

Jones erklärt weiter, Snowflake habe "die begrenzte Anzahl von Kunden", die potenziell betroffen sind, umgehend informiert und mit Handlungsempfehlungen versorgt, um ihre Konten vor möglichen Angriffen zu schützen. Weitere Details zu den Untersuchungen des Angriffs sowie zu möglichen Abhilfemaßnahmen hat Snowflake in einem Security Bulletin veröffentlicht.