La campagne Snowflake de bourrage d’identifiants de 2024 a été une opération criminelle coordonnée contre environ 165 organisations utilisant l’entrepôt de données cloud Snowflake. La campagne a exploité une faiblesse structurelle unique partagée par toute la cohorte : des identifiants collectés par infostealers s’authentifiant sur des locataires Snowflake n’exigeant pas l’authentification multifacteur.
Victimes confirmées
- AT&T — métadonnées d’appels/SMS de ~110 M de clients
- Ticketmaster (Live Nation) — ~560 M de dossiers clients
- Santander Bank — dossiers personnel et clients sur plusieurs régions
- Advance Auto Parts — ~2,3 M de dossiers employés
- Neiman Marcus, LendingTree, Pure Storage, Pylon Tech + ~155 autres
Pourquoi c’est important
La campagne a établi : que les modèles cloud à responsabilité partagée peuvent échouer côté contrôles client d’une manière que le fournisseur ne peut prévenir ; que les identifiants collectés par infostealers sont un vecteur primaire de compromission de locataires cloud ; que la MFA par défaut au niveau du fournisseur est désormais une attente baseline de l’industrie.