.
Pure Storage é a última empresa a confirmar que é vítima de crescentes violações de dados relacionadas ao Snowflake.
Um boletim de segurança publicado em sua página de suporte na terça-feira disse que o incidente foi confirmado e resolvido. Ele enfatizou fortemente que nenhum dado do cliente foi comprometido.
O fornecedor de armazenamento totalmente flash disse que foi apenas um único espaço de trabalho de análise de dados do Snowflake que foi comprometido, mas não especificou como exatamente a violação ocorreu.
De acordo com o relatório da Mandiant sobre a situação, publicado na segunda-feira, o fator comum observado pelos seus respondentes de incidentes em todas essas violações foi a falta de MFA (Autenticação Multifatorial). Isto não significa necessariamente que este foi o caso na situação da Pure, é claro. Pedimos à empresa que comentasse.
O relatório da Mandiant também disse que o número de organizações violadas como resultado das credenciais do Snowflake sendo coletadas pela tripulação conhecida como UNC5537 era de 165 na segunda-feira. Não está claro se o Pure Storage era um deles ou se aumenta esse número hoje.
O espaço de trabalho violado pertencente à Pure Storage continha “informações de telemetria” usadas para fornecer serviços de suporte ao cliente, disse o fornecedor no boletim.
“Essas informações incluem nomes de empresas, nomes de usuário LDAP, endereços de e-mail e o número da versão do software Purity”, acrescentou.
“O espaço de trabalho não incluía informações comprometedoras, como senhas para acesso ao array ou qualquer dado armazenado nos sistemas do cliente. Essas informações nunca são e nunca poderão ser comunicadas fora do próprio array e não fazem parte de qualquer telemetria. informações de telemetria não podem ser usadas para obter acesso não autorizado aos sistemas do cliente.”
Pure disse que esta foi a única atividade incomum detectada e que sua infraestrutura mais ampla permanece ilesa. Ele também disse que continua monitorando os sistemas dos clientes e também não encontrou nada preocupante.
“As descobertas preliminares de uma empresa líder de segurança cibernética que contratamos também validam a conclusão que chegamos em relação às informações no espaço de trabalho. A Pure Storage continua totalmente comprometida em fornecer atualizações oportunas e transparentes aos nossos clientes e continuaremos monitorando esta situação e usando este fórum para atualizações importantes.”
De acordo com a avaliação da Mandiant, o UNC5537 tem coletado credenciais do Snowflake de despejos de infostealers anteriores, alguns datando de 2020.
Está sendo tratado como a principal causa de violações relacionadas ao Snowflake – parece a partir dos dados mais recentes que cerca de 80% de todas as organizações afetadas tiveram suas credenciais válidas expostas antes de serem violadas.
Hudson Rock foi o primeiro a chamar a atenção para a onda de violações nos clientes da Snowflake. Seu relatório sobre o assunto foi retirado do ar depois que os advogados da Snowflake citaram imprecisões, principalmente em relação à avaliação de Hudson Rock de que a conta de um funcionário da Snowflake foi comprometida e usada para exfiltrar dados de clientes.
Com todos os olhos voltados para o Snowflake, especialmente depois que muitos inicialmente acreditaram que ele era o responsável pelas violações massivas da Ticketmaster e do Santander, acabou se revelando incorreto. O CEO Brad Smith disse que a conta de um ex-funcionário foi hackeada, mas só foi usada para acessar contas demo que não oferecem nada aos invasores.
Smith também foi o primeiro a dizer que o número “limitado” de clientes violados usavam autenticação de fator único – uma grande proibição de segurança em 2024.
Depois de dissipar qualquer ideia de que saqueadores digitais saquearam sua própria infraestrutura de alguma forma significativa, a Snowflake teve que deixar bem claro em suas comunicações seguintes que não houve absolutamente nenhum compromisso na própria empresa. ®
.
