A Snowflake, uma empresa de norte-americana com sede em Boston conhecida por fornecer serviços de análise e armazenamento de dados baseados em nuvem para empresas globais, foi alvo de um ataque cibernético sofisticado, explorado pelo grupo cibercriminoso ShinyHunters e notificado pela empresa de Segurança de Redes, Hudson Rock. A consequência do ato criminoso gerou vazamentos de dados em empresas como Ticketmaster e Santander, ambas clientes da Snowflake.
A Ticketmaster, uma das principais vítimas, confirmou a atividade não autorizada em seu banco de dados, afetando 560 milhões de clientes. Em um documento enviado à Comissão de Valores Mobiliários dos EUA, a Live Nation, controladora da Ticketmaster, disse que, em 27 de maio, “um ator de ameaça criminosa ofereceu o que alegou ser dados de usuários da empresa para venda através da dark web” e que estava investigando.
O Procon de São Paulo notificou a Ticketmaster, exigindo explicações e medidas para proteger os dados dos consumidores. A empresa afirmou que está trabalhando para mitigar o risco para seus clientes e notificando os usuários sobre o acesso não autorizado às suas informações pessoais.
O Banco Santander também sofreu impactos significativos, com dados de aproximadamente 30 milhões de clientes acessados ilegalmente em pelo menos três países – Chile, Espanha e Uruguai – além de dados de funcionários da instituição. As informações roubadas incluíam nomes, endereços, números de telefone e detalhes parciais de cartão de crédito.
Em uma postagem em um fórum de hackers, o grupo ShinyHunters revelou que os dados incluíam 6 milhões de números de contas e saldos, 28 milhões de números de cartão de crédito, além de informações de recursos humanos de funcionários. O grupo de hackers está exigindo um pagamento de resgate de US$ 500.000 para evitar que os dados sejam vendidos a outras partes.
Entenda o caso
A Hudson Rock descobriu o incidente ao se comunicar com um hacker que supostamente acessou os dados da Ticketmaster e do Banco Santander. De acordo com a empresa de segurança cibernética, o hacker observou que essas violações se originaram do comprometimento de um único fornecedor, a Snowflake.
O hacker afirmou que violou a Snowflake ao adquirir credenciais de login da conta ServiceNow de um funcionário que estava integrado à infraestrutura interna de TI da Snowflake. Esse acesso permitiu que eles contornassem as medidas de segurança do provedor de login único da Snowflake. Depois de entrar, o hacker alegou ter gerado tokens de sessão, permitindo-lhes extrair grandes quantidades de dados.
Hudson Rock revelou que o hacker tentou extorquir US$ 20 milhões da Snowflake, mas não recebeu resposta da empresa.
“Observamos recentemente um aumento na atividade de ameaças cibernéticas direcionadas a algumas contas de nossos clientes. Acreditamos que isso seja o resultado de ataques contínuos baseados em identidade em todo o setor, com a intenção de obter dados de clientes. Até o momento, não acreditamos que esta atividade seja causada por qualquer vulnerabilidade, configuração incorreta ou atividade maliciosa no produto Snowflake”, diz a empresa em comunicado.
A companhia reforça que continua investigando o incidente, enquanto a Ticketmaster e o Santander trabalham para mitigar os riscos e notificar os clientes afetados. O governo australiano disse que está trabalhando com a Ticketmaster para resolver o problema. O FBI também se ofereceu para ajudar, disse um porta-voz da Embaixada dos EUA em Camberra à Agence France-Presse.
A Security Report disponibiliza o comunicado do Banco Santander na íntegra:
“O Grupo Santander teve recentemente conhecimento de um acesso não autorizado a uma base de dados da entidade hospedada por um fornecedor. O banco implementou imediatamente medidas para gerenciar o incidente, como o bloqueio do acesso à base de dados e o reforço da prevenção de fraudes para proteger os clientes.
Após a investigação realizada, podemos confirmar que as informações de clientes do Santander Chile, Espanha e Uruguai, de todos os funcionários e alguns ex-funcionários do grupo foram acessadas. Nos demais mercados e negócios do banco, os dados dos clientes não foram afetados.
Na base de dados não há informações transacionais, credenciais de acesso ou senhas do internet banking que permitam operar com o banco. As operações e os sistemas do Santander não foram afetados e os clientes podem continuar a operar com segurança.
Lamentamos a situação e estamos informando proativamente os clientes e os funcionários diretamente afetados. Notificamos os reguladores e as autoridades responsáveis, e continuaremos colaborando com eles”.
*Com informações da BBC, Reuters e Tech Times