Home La violation des données Snowflake : un aperçu complet

La violation des données Snowflake : un aperçu complet

En juin 2024, une importante violation de données impliquant Snowflake, l'un des principaux fournisseurs de stockage et d'analyse de données dans le cloud, a été révélée. Cet incident a touché de nombreuses entreprises de premier plan et des millions de particuliers, suscitant des inquiétudes quant à la sécurité des données dans les environnements cloud. La faille Snowflake souligne l'importance d'augmenter et d'améliorer les solutions de sécurité des données dans les environnements cloud, telles que la mise en œuvre de mesures de sécurité robustes, la mise à jour régulière des informations d'identification et le maintien d'une surveillance vigilante des systèmes basés sur le cloud. Cet article examine en profondeur la violation de Snowflake, son impact et les leçons apprises.

Qu'est-ce que la brèche Snowflake

La violation de données Snowflake était une série d'attaques ciblées sur plusieurs instances client Snowflake. Une société de cybersécurité enquêtant sur l'incident aux côtés de Snowflake a identifié un groupe d'acteurs menaçants motivés par des raisons financières dontles actions sont suivies comme UNC5537.

Qu'est-ce que UNC5537

UNC5537 permet à Mandiant de suivre les activités malveillantes liées à un seul groupe d'acteurs menaçants ciblant les clients de la base de données Snowflake. Ces cybercriminels se spécialisent dans le vol de données sensibles auprès d’organisations utilisant la plateforme d’entreposage de données basée sur le cloud de Snowflake. Leur méthode principale consiste àexploiter des informations d'identification compromisesobtenu à partir d'un logiciel malveillant infostealer.La campagne UNC5537 constitue une menace importanteaux organisations qui s'appuient sur Snowflake pour le stockage et la gestion des données. Leur capacité à exploiter les informations d’identification compromises et à contourner la MFA souligne l’importance cruciale de mesures de sécurité robustes, notamment une hygiène rigoureuse des mots de passe, la mise en œuvre de la MFA et une surveillance continue des activités suspectes.

Comment la violation de Snowflake s’est-elle produite ?

UNC5537 a accédé aux instances client Snowflake à l'aide d'informations d'identification volées et de comptes dépourvus d'authentification multifacteur (MFA). Ces informations d'identification ont été principalement obtenues grâce à diverses campagnes de logiciels malveillants infostealer qui ont infecté des systèmes n'appartenant pas à Snowflake. Certaines des informations d'identification volées remontent à 2020, soulignant les risques à long terme liés aux informations de connexion compromises. Trois facteurs principaux ont conduit à de nombreuses compromission réussies :

  1. Absence d'authentification multifacteur (MFA) sur les comptes concernés
  2. Utilisation d'informations d'identification obsolètes qui ont été volées il y a des années
  3. L'absence de réseau permet aux listes de restreindre l'accès aux emplacements de confiance

Une fois dans une base de données Snowflake, UNC5537 utilise un outil personnalisé nommé « rapeflake » pour effectuer des reconnaissances et potentiellement exploiter les vulnérabilités. Ils exfiltrent ensuite de gros volumes de données à l’aide d’une série de commandes SQL. Après avoir volé les données, les auteurs de la menace commettent des extorsions, exigeant le paiement d'une rançon à leurs victimes. De plus, ils vendent souvent les données volées sur les forums de cybercriminalité dans un but lucratif.

Victimes de violations de données de haut niveau de Snowflake

Snowflake est devenu un cas bien connu car plusieurs entreprises en ont été affectées, dont laViolation de données Ticketmaster, l’une des violations les plus importantes en 2024.Clause de non-responsabilité:Il est important de noter que les violations associées n’étaient pas confirmées au moment de la publication de cet article.

Maître des billets

Live Nation, la société mère de Ticketmaster, a confirméaccès non autorisé à un environnement de base de données cloud tierscontenant principalement des données Ticketmaster. La violation a potentiellement impacté 560 millions de clients.

Banque de Santander

Santander a annoncé un accès non autorisé à une base de données hébergée par un fournisseur tiers, affectant environ 30 millions de clients.

AT&T

AT&Ta révélé que les enregistrements d'appels et de SMS de presque tous ses clients cellulaires du 1er mai 2022 au 31 octobre 2022 et du 2 janvier 2023 avaient été compromis. Cette faille a touché environ 110 millions de clients.

Pièces d'auto avancées

Pièces d'auto avancéesa rapporté qu'entre le 14 avril et le 24 mai 2024, un accès non autorisé à son environnement Snowflake a exposé les informations personnelles de plus de 2,3 millions de personnes.

La réponse de Flocon de neige

Snowflake maintient que les incidents résultent de la compromission des informations d’identification des utilisateurs plutôt que de vulnérabilités ou de défauts inhérents au produit Snowflake lui-même. La société a travaillé avec les clients concernés et a fourni des conseils détaillés en matière de détection et de renforcement.

En savoir plus:Violation de données sur Facebook : comment savoir si vous êtes concerné

Leçons apprises et bonnes pratiques en matière de cybersécurité

Après chaque violation de données, de nouvelles leçons sont tirées. Cependant, d’anciennes erreurs humaines persistent, ce qui augmente les chances de réussite des acteurs malveillants dans leur quête. La faille Snowflake nous enseigne l’importance d’appliquer quelques solutions de base en matière de cybersécurité. Pour améliorer la sécurité de leurs données, les utilisateurs et les entreprises peuvent utiliser les solutions suivantes.

Activer l'authentification multifacteur (MFA)

L’un des points d’entrée lors de la violation était des informations d’identification faibles sans méthode MFA. La mise en œuvre de MFA ajoute une couche de sécurité, rendant les accès non autorisés plus difficiles, car le propriétaire du compte doit autoriser tout nouvel accès.

Rotation régulière des diplômes

Les anciennes informations d’identification facilitaient l’accès des cybercriminels aux comptes des utilisateurs, conduisant à la violation de données. Pour éviter cela, mettez régulièrement à jour et alternez les informations d'identification, en particulier pour les comptes disposant d'autorisations étendues.

Surveiller les activités suspectes

Consultez les journaux pour les requêtes exécutées, en particulier celles impliquant un accès à des données externes ou exposant potentiellement des informations sensibles.

Appliquer une politique de confiance zéro

Pour empêcher tout accès non autorisé sur votre réseau, vous pouvez vous assurer que chaque membre de votre personnel a accès uniquement aux informations nécessaires pour effectuer ses tâches quotidiennes.

Related Posts

Quel groupe de personnes est le plus à risque du cyberrstalking

Quel groupe de personnes est le plus à risque du cyberrstalking

2025-03-17
Ne pas déranger l'emplacement éteint

Ne pas déranger l'emplacement éteint

2025-05-05
iOS 17: Comment désactiver ne pas déranger sur l'iPhone 15 et 14

iOS 17: Comment désactiver ne pas déranger sur l'iPhone 15 et 14

2023-03-12
Comment dissocier deux iPhones avec le même ID Apple

Comment dissocier deux iPhones avec le même ID Apple

2025-07-14
Comment résoudre «il y a un problème avec ce package d'installation de Windows» Erreur

Comment résoudre «il y a un problème avec ce package d'installation de Windows» Erreur

2025-03-27
Les 8 meilleures façons de garder le statut des équipes Microsoft Green tout le temps

Les 8 meilleures façons de garder le statut des équipes Microsoft Green tout le temps

2024-01-01
Comment enregistrer les résultats de recherche de l'explorateur de fichiers sous Windows 11

Comment enregistrer les résultats de recherche de l'explorateur de fichiers sous Windows 11

2025-05-07
La musique YouTube teste enfin la traduction des paroles

La musique YouTube teste enfin la traduction des paroles

2025-10-03
Comment supprimer Kandji de Mac/iPhone/iPad

Comment supprimer Kandji de Mac/iPhone/iPad

2024-10-16
Articles sur Windows 10

Articles sur Windows 10

2024-12-18
Comment supprimer la clé de produit Windows 10 du registre

Comment supprimer la clé de produit Windows 10 du registre

2025-04-30
Correctif : actualités et centres d'intérêt exécutés dans le Gestionnaire des tâches sous Windows 10

Correctif : actualités et centres d'intérêt exécutés dans le Gestionnaire des tâches sous Windows 10

2024-10-23
Comment le serveur DNS est-il activé?

Comment le serveur DNS est-il activé?

2025-04-29
Comment changer l'emplacement sur Xbox en étapes faciles

Comment changer l'emplacement sur Xbox en étapes faciles

2025-07-22
Test de taux de rafraîchissement

Test de taux de rafraîchissement

2025-01-29