Uno de los mayores hackeos del año quizá haya empezado a desarrollarse. A última hora del viernes, la asediada empresa de eventos Live Nation, propietaria de Ticketmaster, confirmó que había sufrido una filtración de información después de que unos hackers criminales aseguraran estar vendiendo en internet 500 millones de registros de clientes. La compañía bancaria Santander también reconoció que había sufrido una filtración que afectaba a millones de clientes y empleados, después de que el mismo grupo de hackers hiciera públicos sus datos.
Aunque las circunstancias concretas de las vulneraciones, incluyendo exactamente qué información se robó y cómo se accedió a ella, siguen sin estar claras, los incidentes estarían relacionados con ataques contra cuentas de empresas con el proveedor de alojamiento en la nube Snowflake. Dicha empresa estadounidense cuenta con miles de clientes, entre ellos Adobe, Canva y Mastercard, que almacenan y procesan grandes cantidades de datos en sus sistemas.
El Gobierno de EE UU interpuso una demanda antimonopolio contra Ticketmaster y su empresa matriz, Live Nation, por abusar supuestamente de su posición dominante en el mercado de venta de entradas con el fin de extinguir una competencia sana.
Robo de información a la alza en internet
Los expertos en seguridad señalan que, a medida que se vayan conociendo más detalles sobre los intentos de los hackers de acceder a los sistemas de Snowflake y apoderarse de la información, es posible que otras compañías revelen que han sufrido robos de datos. Por el momento, sin embargo, la situación en desarrollo es confusa y complicada.
“Snowflake observó recientemente y está investigando un aumento de la actividad de ciberamenazas dirigidas a algunas de las cuentas de nuestros clientes”, escribió el viernes Brad Jones, director de seguridad de la información de Snowflake, en un post de blog en el que reconocía el incidente de ciberseguridad. Snowflake encontró un “número limitado” de cuentas de clientes que han sido objetivo de los hackers que obtuvieron las credenciales de acceso a los sistemas de la empresa, declaró Jones. Snowflake también descubrió que habían logrado ingresar a la cuenta “demo” de un exempleado.
No obstante, Snowflake “no cree” que haya sido el origen de ninguna filtración de credenciales de clientes, aclara la publicación. “No tenemos pruebas que sugieran que esta actividad haya sido causada por una vulnerabilidad, configuración incorrecta o violación del producto de Snowflake”, indicó Jones en la publicación del blog.
Aunque no se ha revelado el número de cuentas de Snowflake a las que se accedió ni qué datos pudieron ser sustraídos, las autoridades gubernamentales están advirtiendo sobre el impacto del ataque. El Centro de Seguridad Cibernética de Australia (Australian Cyber Security Center) emitió una alerta “máxima” el sábado, manifestando que es “consciente del éxito del ataque a varias compañías que emplean entornos Snowflake” y que las empresas que utilicen dicho ecosistema deberían restablecer las credenciales de sus cuentas, activar la autenticación multifactor y revisar la actividad de los usuarios.
“Parece que Snowflake sufrió una vulneración de seguridad bastante atroz”, explica a WIRED el investigador Troy Hunt, quien dirige el sitio web de notificación de filtraciones de datos Have I Been Pwned. “Al ser proveedor de muchas otras entidades, generó una especie de burbuja que dio lugar a distintas violaciones de información en varios lugares”.