Las organizaciones deben asegurarse de tener capas de seguridad esenciales, como la autenticación multifactor (MFA), habilitada después de que cientos de credenciales de Snowflake comprometidas se hayan subido a la web oscura. Luego de violaciones de alto perfil en Santander y Ticketmaster que involucraron el uso de credenciales robadas para comprometer la seguridad deficiente. En los casos de Snowflake, las autoridades han advertido a las organizaciones que reevalúen cómo protegen su infraestructura alojada en la nube. Además, esta semana TechCrunch afirmó haber observado más de 500 credenciales de Snowflake enumeradas en un foro clandestino anónimo alojado en la web oscura. Las credenciales incluyen nombres de usuario, contraseñas, direcciones de correo electrónico y direcciones web de las páginas de inicio de sesión de las cuentas de Snowflake correspondientes. En un comunicado reconociendo los incidentes, Brad Jones, CISO de Snowflake, dijo que los hallazgos preliminares de la investigación en curso de la compañía indicaron que se estaban aprovechando las credenciales. Estos ataques se obtuvieron a través de malware de robo de información implementado en las computadoras de los empleados que tenían acceso al entorno Snowflake de su organización. Junto con los nombres que ya se sabe que están vinculados a este evento, también hay credenciales vinculadas a varias organizaciones sin nombre, según TechCrunch. incluyen al menos dos compañías farmacéuticas importantes, un proveedor de agua dulce de gestión pública y varias otras empresas. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, actualizado recientemente para 2024. No está claro exactamente cuándo se robaron las credenciales, cuánto tiempo han estado disponibles en línea y si actualmente están en uso activo o no. Los usuarios elegir renunciar a MFA y ponerse en riesgo. Como probar las credenciales robadas constituiría un delito cibernético, el medio no pudo garantizar su autenticidad, pero intentó verificarlas utilizando otros métodos. Esto incluyó confirmar las direcciones web de los entornos Snowflake incluidos en el caché de información publicada en línea correspondiente a las empresas cuyos inicios de sesión de los empleados se vieron comprometidos. Esto fue posible porque cada página de inicio de sesión ofrecía a los usuarios dos opciones de inicio de sesión diferentes. La primera utiliza la plataforma de inicio de sesión único de Okta para permitir a los usuarios iniciar sesión con las credenciales corporativas de su empresa mediante MFA. La segunda opción permite a los usuarios usar solo su nombre de usuario y contraseña de Snowflake para obtener acceso a la base de datos, dependiendo de si la empresa había elegido aplicar una capa MFA en la cuenta. Jones de Snowflake enfatizó en su declaración que estos ataques solo fueron posibles porque las instancias comprometidas no tenían MFA aplicado, instando a las organizaciones a asegurarse de haberlo aplicado en todas sus cuentas. Las políticas de MFA de Snowflake también brindan a los usuarios mucha libertad para no estar seguros Ofer Maor, cofundador y director de tecnología de Mitiga, describió cómo las políticas de Snowflake brindaron a los clientes la posibilidad de renunciar a protecciones de seguridad de autenticación adicionales. “Si bien Snowflake ofrece a los usuarios la posibilidad de activar MFA, esta es una característica que no está habilitada en usuarios de forma predeterminada y, además, el administrador del inquilino no puede imponerlo a los usuarios. Según el sitio de soporte de Snowflake: ‘No, no se puede aplicar MFA para un rol. MFA se habilita por usuario; sin embargo, en este momento, los usuarios no se inscriben automáticamente en MFA. Para utilizar MFA, los usuarios deben inscribirse ellos mismos.’” Señaló que si bien otros proveedores podrían permitir esto para proporcionar una fase de adopción inicial más fluida, a menudo insisten en que MFA se aplique en todas partes después. “Mientras que otros proveedores también pueden ofrecer la posibilidad de comenzar sin MFA (esta es una práctica común para eliminar fricciones durante la adopción inicial, especialmente para las soluciones freemium), la mayoría de los proveedores de SaaS, una vez implementados como una solución empresarial, permiten a los administradores aplicar MFA. Es decir, exigir que todos los usuarios se registren en MFA cuando inician sesión por primera vez y hacer que ya no sea posible que los usuarios trabajen sin MFA», explicó. «Este sería un comportamiento común esperado, como los usuarios están acostumbrados desde su Office 365 o Google. Entornos de espacio de trabajo, pero también de otras aplicaciones empresariales que utilizan, como Salesforce, Slack y otras”. Como tal, la política de Snowflake brinda a los usuarios la opción de usar MFA o no, lo que, según Maor, podría llevar a que las cuentas queden sin seguridad. “Esto significa que Snowflake deja que cada usuario decida si quiere inscribirse en MFA o no. Esto naturalmente lleva a que muchos usuarios de Snowflake no tengan MFA activado. Parece que la campaña actual está aprovechando esta debilidad y está dirigida a usuarios que no tienen MFA activado”.