Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)
Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.
- Victime
- Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
- données
- 560.0M
- utilisateurs
- 560.0M
Au cours de la mi-2024, un seul cluster malveillant suivi sous les noms d'UNC5537 et de ShinyHunters a mené l'une des campagnes d'identifiants SaaS les plus lourdes de conséquences jamais documentées publiquement : environ 160 tenants clients de Snowflake ont été utilisés via des identifiants dérobés, exposant les données de centaines de millions de consommateurs chez Ticketmaster, Santander, AT&T, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, et d'autres.
Ce qui s'est passé
Snowflake est une plateforme d'entrepôt de données cloud — la plupart des grandes entreprises y stockent une partie de leurs données analytiques les plus concentrées. UNC5537 n'a pas exploité de vulnérabilité du produit Snowflake. Au lieu de cela, le groupe a :
- Collecté des identifiants à grande échelle sur des terminaux de contractants et d'employés déjà infectés par des logiciels infostealers (Lumma, Redline, Vidar, Raccoon).
- Identifié des connexions de tenants Snowflake dans les lots d'identifiants collectés.
- Connecté directement aux tenants qui n'imposaient pas la MFA sur les comptes utilisateurs.
Une fois à l'intérieur, les attaquants ont exfiltré les tables de données du client et ont utilisé le butin pour extorquer le tenant — d'abord en privé, puis publiquement sur les forums d'extorsion et les canaux de fuite de ShinyHunters.
Santander a divulgué la brèche le 30 mai 2024 : personnel et 30 millions de clients en Espagne, au Chili et en Uruguay touchés. Ticketmaster/Live Nation a divulgué le lendemain : données d'environ 560 millions d'utilisateurs. L'exposition Snowflake d'AT&T, divulguée séparément (métadonnées d'appels/SMS pour ~110 M de clients mobiles sur six mois de 2022), fait également partie de cette campagne.
Snowflake a publiquement déclaré qu'il ne s'agissait pas d'une compromission du produit mais d'un problème d'identifiants clients — tout en divulguant également que le compte d'un ancien employé de Snowflake avait été accédé par des attaquants, ce qui complique le récit. L'entreprise a par la suite décidé d'exiger la MFA par défaut sur les tenants clients en réponse.
Impact
- Environ 160 tenants clients de Snowflake compromis.
- ~560 millions d'enregistrements d'utilisateurs Ticketmaster exposés.
- ~30 millions d'enregistrements clients Santander exposés dans trois pays.
- ~110 millions d'enregistrements de métadonnées de clients mobiles AT&T exposés (divulgués séparément).
- ShinyHunters a extorqué plusieurs victimes ; certaines ont payé, d'autres non.
Pourquoi cela compte
UNC5537 a démontré, à l'échelle industrielle, que la couche d'identifiants est le nouveau périmètre des entrepôts de données SaaS — et que le défaut d'imposition de la MFA par un client peut compromettre des centaines de millions de consommateurs en aval. La décision subséquente de Snowflake d'imposer la MFA par défaut est désormais largement considérée comme le standard post-incident pour les plateformes SaaS détenant des données clients concentrées.
Chronologie
UNC5537 commence à se connecter systématiquement aux tenants clients de Snowflake en utilisant des identifiants collectés par des logiciels infostealers sur des terminaux de contractants et d'employés. Les tenants sans MFA imposée sont des cibles faciles.
Santander confirme une brèche touchant son personnel et 30 millions de clients en Espagne, au Chili et en Uruguay ; ShinyHunters revendique.
Ticketmaster/Live Nation confirme une brèche affectant environ 560 millions d'utilisateurs via Snowflake.
Snowflake déclare que l'activité résulte d'identifiants utilisateurs dérobés, et non d'une compromission du produit Snowflake, mais divulgue également un accès non autorisé au compte d'un ancien employé de Snowflake.
TechCrunch rapporte avoir vu plus de 500 identifiants de clients Snowflake dérobés, y compris les adresses web des pages de connexion correspondantes.
Mandiant attribue la campagne à UNC5537 ; le nombre de tenants touchés atteint environ 160 organisations.
AT&T divulgue une exposition liée à Snowflake portant sur des enregistrements d'appels et de SMS couvrant environ six mois de 2022 pour la quasi-totalité de ses clients mobiles (~110 M).
Sources
- en.wikipedia.orghttps://en.wikipedia.org/wiki/Snowflake_data_breach
- therecord.mediahttps://therecord.media/live-nation-confirms-ticketmaster-breach-snowflake
- cm-alliance.comhttps://www.cm-alliance.com/cybersecurity-blog/snowflake-ticketmaster-santander-breaches-a-live-timeline
- en.wikipedia.orghttps://en.wikipedia.org/wiki/ShinyHunters
- informationweek.comhttps://www.informationweek.com/cyber-resilience/-it-wasn-t-me-snowflake-denies-attack-responsibility-admits-hack-of-former-worker