Snowflake डेटा लीक: हैकरों ने infostealer infection के ज़रिए access की पुष्टि की

 (hudsonrock.com)
1 पॉइंट द्वारा GN⁺ 2024-06-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 31 मई 2024 को, cloud कंपनी Snowflake को बड़े पैमाने पर डेटा लीक का सामना करना पड़ा
  • Hudson Rock ने पुष्टि की कि हैकरों ने infostealer infection के ज़रिए access हासिल किया
  • हैकरों ने Ticketmaster और Santander Bank सहित कई बड़ी कंपनियों का डेटा रूसी cybercrime forum पर बेचा

हैकिंग का तरीका

  • हैकरों ने Snowflake कर्मचारी के ServiceNow account में चोरी किए गए credentials का इस्तेमाल करके login किया।
  • उन्होंने OKTA को bypass करके session token बनाया और बड़े पैमाने पर डेटा बाहर निकाला।
  • हैकरों का दावा है कि लगभग 400 कंपनियाँ प्रभावित हुईं।

अतिरिक्त सबूत

  • हैकरों ने Hudson Rock के शोधकर्ताओं के साथ एक CSV file साझा की, जो Snowflake server तक access दिखाती है।
  • यह file Snowflake के Europe server से जुड़े 2,000 से अधिक customer instances को document करती है।

हैकरों का लक्ष्य

  • हैकरों ने डेटा वापस पाने के बदले Snowflake से 2 करोड़ डॉलर की मांग की।
  • कंपनी ने इसका जवाब नहीं दिया।

infostealer infection में वृद्धि

  • 2018 के बाद से infostealer infection में 6000% की वृद्धि हुई है, और यह शुरुआती attack vector के रूप में प्रमुख बन गया है।
  • इसका उपयोग ransomware, डेटा लीक, account takeover और corporate espionage समेत कई cyber attacks को अंजाम देने में किया जाता है।

GN⁺ की राय

  • cyber security का महत्व: यह घटना दिखाती है कि कंपनियों को cyber security पर और अधिक ध्यान देना चाहिए। खासकर कर्मचारियों के credentials का प्रबंधन बहुत महत्वपूर्ण है।
  • infostealer का खतरा: infostealer बहुत तेज़ी से फैल रहा है, और कंपनियों को इसके खिलाफ तैयारी करनी चाहिए।
  • response strategy: हैकिंग की घटना होने पर तेज़ response और नुकसान कम करने की रणनीति ज़रूरी है। Snowflake की धीमी प्रतिक्रिया से नुकसान बढ़ गया।
  • security training: कर्मचारियों के लिए security training मज़बूत करना ज़रूरी है, ताकि credentials management और phishing attacks के प्रति जागरूकता बढ़े।
  • वैकल्पिक solutions: Snowflake जैसे features देने वाले दूसरे cloud storage solutions पर भी विचार किया जा सकता है। उदाहरण के लिए, AWS S3 या Google Cloud Storage।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-01
Hacker News की राय
  • Snowflake के साथ काम करते समय एक SE (Solution Engineer) ने demo environment सेट किया और client data का उपयोग किया। यह client द्वारा ID expiry को manage न करने से पैदा हुई समस्या लगती है।
  • लेख का शीर्षक और सामग्री मेल नहीं खाते। यह customer data exposure से जुड़ा मुद्दा नहीं लगता, और वास्तव में प्रभावित customers की संख्या कम है।
  • Snowflake के Felipe ने इस मुद्दे पर ताज़ा जानकारी साझा की। अपडेटेड जानकारी लिंक के ज़रिए देखी जा सकती है।
  • चैट लॉग का screenshot प्रभावशाली है। अपराधी इस कंपनी से संपर्क में है और दावा करता है कि कंपनी की मदद से breach को रोका जा सका।
  • लगता है कि Snowflake system इस तरह डिज़ाइन किया गया है कि एक ही admin account से सब कुछ access किया जा सकता है। इससे Ticketmaster और Santander मामलों की विश्वसनीयता बढ़ती है।
  • Snowflake का कहना है कि समस्या customer की गलती से हुई। शोध के अनुसार, यह Snowflake product की vulnerability या misconfiguration के कारण नहीं था।
  • आधिकारिक Snowflake response के अनुसार, यह घटना customer user credentials के उजागर होने से संबंधित है। Snowflake product में खुद कोई समस्या नहीं है।
  • यह दावा किया गया कि Ticketmaster breach, Snowflake employee credentials की चोरी के कारण, 400 से अधिक कंपनियों को प्रभावित कर गया। Hudson Rock की विश्वसनीयता पर सवाल उठाए गए।
  • समझाया गया कि threat actor ने Snowflake employee के ServiceNow account को hijack करके OKTA को bypass किया। ServiceNow की भूमिका और महत्व के बारे में स्पष्टीकरण माँगा गया।
  • इस बात पर सवाल उठाया गया कि Snowflake employee credentials चुराकर customer data तक कैसे पहुँचा जा सकता है। Snowflake की data security से अपेक्षाएँ काफ़ी ऊँची हैं।