Otro cliente de Snowflake, LendingTree, ha confirmado una violación de datos. Snowflake afirma que su posición «se mantiene sin cambios». Los problemas de seguridad de Snowflake, tras una reciente ola de robos de datos de clientes, son, en ausencia de una palabra mejor, una bola de nieve.

Después de que Ticketmaster fuera la primera empresa en vincular su reciente violación de datos con la compañía de datos en la nube Snowflake, el sitio de comparación de préstamos LendingTree ha confirmado que a su filial QuoteWizard le robaron datos a través de Snowflake. Megan Greuling, portavoz de LendingTree, comentó a TechCrunch: «Podemos confirmar que utilizamos Snowflake para nuestras operaciones comerciales, y que nos notificaron que nuestra subsidiaria, QuoteWizard, puede haber tenido datos afectados por este incidente».

Greuling añadió que la información de la cuenta financiera del consumidor y la información de la entidad matriz, LendingTree, no parecen haber sido afectadas. Sin embargo, se negó a hacer más comentarios, citando la investigación en curso de la compañía.

La respuesta de Snowflake.

Mientras más clientes afectados se pronuncian, Snowflake ha emitido escasas declaraciones, reiterando que no hubo una violación de datos en sus propios sistemas. En su lugar, argumenta que los clientes no estaban utilizando la autenticación multifactor (MFA), una medida de seguridad que Snowflake no hace cumplir ni requiere por defecto. La empresa identificó que la cuenta de demostración de un ex empleado fue comprometida debido a que solo estaba protegida con un nombre de usuario y una contraseña.

Brad Jones, director de seguridad de la información de Snowflake, mencionó que se trataba de una «campaña dirigida a usuarios con autenticación de un solo factor» y que utilizaba credenciales robadas a través de malware o de violaciones de datos anteriores.

La falta de MFA ha permitido a los ciberdelincuentes descargar grandes cantidades de datos de los entornos de los clientes de Snowflake, que no estaban protegidos por esta capa adicional de seguridad. TechCrunch encontró en línea cientos de credenciales de clientes de Snowflake robadas por malware que infectó los ordenadores de los empleados con acceso al entorno de Snowflake. Esto sugiere un riesgo continuo para los clientes que aún no han cambiado sus contraseñas o habilitado la MFA.

Preguntas sin responder.

TechCrunch ha enviado múltiples preguntas a Snowflake sobre el incidente en curso. Sin embargo, la empresa ha declinado responder en varias ocasiones. Aún no se sabe cuántos clientes de Snowflake se ven afectados ni si la empresa tiene un recuento exacto. Snowflake ha notificado a un «número limitado de clientes», pero se desconoce la magnitud total del incidente.

Snowflake mencionó que se dio cuenta el 23 de mayo de la «actividad de la amenaza», pero encontró evidencia de intrusiones desde mediados de abril. Esto plantea la cuestión de por qué Snowflake no detectó antes la exfiltración de datos o no alertó públicamente a sus clientes de inmediato.

Un aspecto clave de la declaración de Snowflake indica que un actor de amenaza obtuvo credenciales personales y accedió a cuentas de demostración de un ex empleado de Snowflake. La compañía afirma que estas cuentas no contenían datos confidenciales, aunque se ha negado a especificar qué considera como «datos confidenciales».

Falta de medidas proactivas.

No está claro por qué Snowflake no ha restablecido proactivamente las contraseñas ni ha exigido la MFA en las cuentas de sus clientes. Aunque Snowflake argumenta que los clientes son responsables de su propia seguridad, el hecho de que los robos estén vinculados a la falta de MFA hace que esta postura sea cuestionable.

Snowflake parece estar avanzando hacia el lanzamiento de MFA por defecto. Sridhar Ramaswamy, CEO de Snowflake, y Brad Jones han confirmado que están desarrollando un plan para exigir controles de seguridad avanzados como la MFA, especialmente para las cuentas privilegiadas de los clientes.

El incidente de seguridad en Snowflake resalta las vulnerabilidades en los sistemas de autenticación y la necesidad de medidas de seguridad más estrictas. A medida que más detalles se revelen, será crucial que Snowflake aborde estas preocupaciones de manera transparente para mantener la confianza de sus clientes y asegurar la integridad de sus datos.