駭客事件忙7周 AT&T又大規模資料外洩 加劇Snowflake資安問題

雲端數據倉儲服務公司 Snowflake 過去 7 周來不斷為一樁重大網路攻擊善後,因為該公司許多客戶的敏感資料恐遭未經授權的第三方成功訪問。

美電信巨頭 AT&T (T-US) 周五 (12 日) 在一份監管文件中表示,駭客侵入其存有客戶資料的雲端平台,獲取了 2022 年 6 個月期間內用戶的通話和簡訊記錄,包括電話號碼、累計通話時長,以及一些手機站點詳細資訊。

AT&T 寫道:「雖然數據不包括客戶姓名,但有多種方法可以使用公開的線上工具來查找與特定電話號碼相關的姓名。」攻擊者無法存取通話或簡訊的內容。

AT&T 發言人表示,該雲端服務歸 Snowflake (SNOW-US) 所有,此次攻擊不會對 AT&T 財務產生重大影響。但受此消息影響,周五美股大盤均上漲之際,Snowflake 收低 1.76%。這是自 Snowflake 於 5 月 30 日披露該漏洞以來最嚴重的事件。

Snowflake 當時以部落格文章寫道,「我們於 2024 年 5 月 23 日意識到某些客戶帳戶可能受到未經授權的訪問。」

Snowflake 尋求網路安全軟體供應商 CrowdStrike 和 Alphabet 旗下網路安全公司麥迪安 (Mandiant) 協助,以進行調查。麥迪安和 Snowflake 已就該事件向 165 個「可能受害的組織」發出警報。

麥迪安將這次駭客攻擊歸咎於一個名為 UNC5537 的具有經濟動機的組織,該組織的成員遍布北美和土耳其。 UNC5537 利用了之前通過惡意軟體偷取並在網上公開的登錄憑證,成功入侵 Snowflake 的系統。

這意味 Snowflake 客戶沒有啟用多重身份驗證,因此這些被盜取的憑證就足以讓 UNC5537 進入 Snowflake 的客戶環境。Snowflake 稱,管理員可以強制使用多重身份驗證。

根據麥迪安,Snowflake 系統中一些惡意軟體感染可追溯到 2020 年,在某些情況下,憑證在被盜多年後仍然有效。