GN⁺: 스노우플레이크 데이터 유출: 해커, 인포스틸러 감염을 통한 접근 확인

 (hudsonrock.com)
1P by neo 6달전 | favorite | 댓글 1개
  • 2024년 5월 31일, 클라우드 기업 스노우플레이크가 대규모 데이터 유출을 겪음
  • 해커는 인포스틸러 감염을 통해 접근했다고 허드슨 록에 확인해줌
  • 해커는 티켓마스터와 산탄데르 은행을 포함한 여러 주요 회사의 데이터를 러시아어 사이버 범죄 포럼에 판매함

해킹 방법

  • 해커는 스노우플레이크 직원의 ServiceNow 계정에 도용된 자격 증명을 사용해 로그인함.
  • OKTA를 우회하여 세션 토큰을 생성하고 대량의 데이터를 유출함.
  • 해커는 약 400개의 회사가 영향을 받았다고 주장함.

추가 증거

  • 해커는 허드슨 록 연구원들에게 스노우플레이크 서버에 대한 접근 권한을 보여주는 CSV 파일을 공유함.
  • 이 파일은 스노우플레이크의 유럽 서버와 관련된 2,000개 이상의 고객 인스턴스를 문서화함.

해커의 목표

  • 해커는 스노우플레이크에게 2천만 달러를 요구하며 데이터를 되찾으려 함.
  • 회사는 이에 응답하지 않음.

인포스틸러 감염의 증가

  • 인포스틸러 감염은 2018년 이후 6000% 증가하여 주요 초기 공격 벡터로 자리잡음.
  • 이는 랜섬웨어, 데이터 유출, 계정 탈취, 기업 스파이 활동 등을 포함한 사이버 공격을 실행하는 데 사용됨.

GN⁺의 의견

  • 사이버 보안의 중요성: 이번 사건은 기업이 사이버 보안에 더욱 신경 써야 함을 보여줌. 특히 직원들의 자격 증명 관리가 중요함.
  • 인포스틸러의 위협: 인포스틸러는 매우 빠르게 확산되고 있으며, 기업은 이에 대한 대비책을 마련해야 함.
  • 대응 전략: 해킹 사건 발생 시 신속한 대응과 피해 최소화 전략이 필요함. 스노우플레이크의 대응이 늦어 피해가 커짐.
  • 보안 교육: 직원들에게 보안 교육을 강화하여 자격 증명 관리와 피싱 공격에 대한 인식을 높이는 것이 중요함.
  • 대체 솔루션: 스노우플레이크와 유사한 기능을 제공하는 다른 클라우드 저장소 솔루션을 고려해 볼 수 있음. 예를 들어, AWS S3나 Google Cloud Storage 등이 있음.
neo 6달전  [-]
Hacker News 의견
  • Snowflake와 협력하는 과정에서 SE(솔루션 엔지니어)가 데모 환경을 설정하고 클라이언트 데이터를 사용함. 클라이언트가 ID 만료를 관리하지 않아 발생한 문제로 보임.
  • 기사 제목과 내용이 일치하지 않음. 고객 데이터 노출과 관련 없는 문제로 보이며, 실제로 손상된 고객 수는 적음.
  • Snowflake의 Felipe가 문제에 대한 최신 정보를 공유함. 링크를 통해 업데이트된 내용을 확인할 수 있음.
  • 채팅 로그 스크린샷이 인상적임. 범죄자가 이 회사와 소통 중이며, 회사의 도움으로 침해를 막을 수 있었다고 주장함.
  • Snowflake 시스템이 단일 관리자 계정으로 모든 접근을 허용하는 방식으로 설계된 것 같음. 이는 Ticketmaster와 Santander 사건의 신뢰성을 높임.
  • Snowflake는 고객의 잘못으로 문제 발생했다고 주장함. 연구 결과, Snowflake 제품의 취약점이나 잘못된 구성 때문이 아님을 강조함.
  • 공식 Snowflake 응답에 따르면, 이번 사건은 고객의 사용자 자격 증명이 노출된 것과 관련이 있음. Snowflake 제품 자체의 문제는 아님.
  • Ticketmaster 침해 사건이 Snowflake 직원의 자격 증명 도용으로 인해 400개 이상의 회사에 영향을 미쳤다는 주장. Hudson Rock의 신뢰성에 대한 의문 제기.
  • 위협 행위자가 Snowflake 직원의 ServiceNow 계정을 도용해 OKTA를 우회했다고 설명함. ServiceNow의 역할과 중요성에 대한 설명 요청.
  • Snowflake 직원의 자격 증명을 도용해 고객 데이터를 접근할 수 있다는 점에 의문 제기. Snowflake의 데이터 보안에 대한 기대가 높음.
답변달기