Skip to content
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victime
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
données
560.0M
utilisateurs
560.0M

Au cours de la mi-2024, un seul cluster malveillant suivi sous les noms d'UNC5537 et de ShinyHunters a mené l'une des campagnes d'identifiants SaaS les plus lourdes de conséquences jamais documentées publiquement : environ 160 tenants clients de Snowflake ont été utilisés via des identifiants dérobés, exposant les données de centaines de millions de consommateurs chez Ticketmaster, Santander, AT&T, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, et d'autres.

Ce qui s'est passé

Snowflake est une plateforme d'entrepôt de données cloud — la plupart des grandes entreprises y stockent une partie de leurs données analytiques les plus concentrées. UNC5537 n'a pas exploité de vulnérabilité du produit Snowflake. Au lieu de cela, le groupe a :

  1. Collecté des identifiants à grande échelle sur des terminaux de contractants et d'employés déjà infectés par des logiciels infostealers (Lumma, Redline, Vidar, Raccoon).
  2. Identifié des connexions de tenants Snowflake dans les lots d'identifiants collectés.
  3. Connecté directement aux tenants qui n'imposaient pas la MFA sur les comptes utilisateurs.

Une fois à l'intérieur, les attaquants ont exfiltré les tables de données du client et ont utilisé le butin pour extorquer le tenant — d'abord en privé, puis publiquement sur les forums d'extorsion et les canaux de fuite de ShinyHunters.

Santander a divulgué la brèche le 30 mai 2024 : personnel et 30 millions de clients en Espagne, au Chili et en Uruguay touchés. Ticketmaster/Live Nation a divulgué le lendemain : données d'environ 560 millions d'utilisateurs. L'exposition Snowflake d'AT&T, divulguée séparément (métadonnées d'appels/SMS pour ~110 M de clients mobiles sur six mois de 2022), fait également partie de cette campagne.

Snowflake a publiquement déclaré qu'il ne s'agissait pas d'une compromission du produit mais d'un problème d'identifiants clients — tout en divulguant également que le compte d'un ancien employé de Snowflake avait été accédé par des attaquants, ce qui complique le récit. L'entreprise a par la suite décidé d'exiger la MFA par défaut sur les tenants clients en réponse.

Impact

  • Environ 160 tenants clients de Snowflake compromis.
  • ~560 millions d'enregistrements d'utilisateurs Ticketmaster exposés.
  • ~30 millions d'enregistrements clients Santander exposés dans trois pays.
  • ~110 millions d'enregistrements de métadonnées de clients mobiles AT&T exposés (divulgués séparément).
  • ShinyHunters a extorqué plusieurs victimes ; certaines ont payé, d'autres non.

Pourquoi cela compte

UNC5537 a démontré, à l'échelle industrielle, que la couche d'identifiants est le nouveau périmètre des entrepôts de données SaaS — et que le défaut d'imposition de la MFA par un client peut compromettre des centaines de millions de consommateurs en aval. La décision subséquente de Snowflake d'imposer la MFA par défaut est désormais largement considérée comme le standard post-incident pour les plateformes SaaS détenant des données clients concentrées.

Chronologie

  1. UNC5537 commence à se connecter systématiquement aux tenants clients de Snowflake en utilisant des identifiants collectés par des logiciels infostealers sur des terminaux de contractants et d'employés. Les tenants sans MFA imposée sont des cibles faciles.

  2. Santander confirme une brèche touchant son personnel et 30 millions de clients en Espagne, au Chili et en Uruguay ; ShinyHunters revendique.

  3. Ticketmaster/Live Nation confirme une brèche affectant environ 560 millions d'utilisateurs via Snowflake.

  4. Snowflake déclare que l'activité résulte d'identifiants utilisateurs dérobés, et non d'une compromission du produit Snowflake, mais divulgue également un accès non autorisé au compte d'un ancien employé de Snowflake.

  5. TechCrunch rapporte avoir vu plus de 500 identifiants de clients Snowflake dérobés, y compris les adresses web des pages de connexion correspondantes.

  6. Mandiant attribue la campagne à UNC5537 ; le nombre de tenants touchés atteint environ 160 organisations.

  7. AT&T divulgue une exposition liée à Snowflake portant sur des enregistrements d'appels et de SMS couvrant environ six mois de 2022 pour la quasi-totalité de ses clients mobiles (~110 M).

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Snowflake_data_breach
  2. therecord.mediahttps://therecord.media/live-nation-confirms-ticketmaster-breach-snowflake
  3. cm-alliance.comhttps://www.cm-alliance.com/cybersecurity-blog/snowflake-ticketmaster-santander-breaches-a-live-timeline
  4. en.wikipedia.orghttps://en.wikipedia.org/wiki/ShinyHunters
  5. informationweek.comhttps://www.informationweek.com/cyber-resilience/-it-wasn-t-me-snowflake-denies-attack-responsibility-admits-hack-of-former-worker

Incidents liés

Faille zero-dayContenu

La NAIC confirme une fuite de données après l'exploitation d'une faille zero-day Oracle PeopleSoft par ShinyHunters

La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.

Victim
National Association of Insurance Commissioners (NAIC)
Fuite de donnéesEn cours

Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

Victim
Eastman Kodak
Records
2.2M