Durante la settimana appena trascorsa l’azienda di vendita di biglietti per eventi Ticketmaster e la banca spagnola Santander hanno ammesso di aver subito un furto di dati dei propri clienti. Si sono poi aggiunte alla lista altre società come Advance Auto Parts e LendingTree.
Inizialmente non era chiaro come fosse possibile che tutte queste aziende avessero avuto problemi di sicurezza informatica nello stesso momento. Con il passare dei giorni però gli indizi hanno iniziato a puntare verso una sola società di servizi in cloud che avrebbe conservato sui propri server i dati di tutte queste aziende: Snowflake.
Cosa è stato rubato: i dati di Ticketmaster e Santander
I primi segnali dell’avvenuto attacco sono comparsi su BreachForums. Si tratta di un sito sul quale è possibile vendere dati ottenuti illegalmente, già sequestrato una volta dall’FBI quest’anno ma immediatamente ricomparso. Il collettivo di hacker che lo gestisce, ShinyHunters, ha dichiarato che tramite la sua piattaforma erano stati acquistati 560 milioni di dati di di clienti di Ticketmaster e 30 milioni collegabili alla banca Santander.
A queste due prime vittime si sono poi aggiunte altre due società i cui dati sono comparsi sul sito BraeachForums. La prima è stata Advance Auto Parts, un grosso fornitore di ricambi per automobili americano. È poi toccato a LendingTree, sito su cui si possono confrontare diverse offerte di prestiti e finanziamenti personali. All’apparenza nessuna di queste aziende aveva nulla in comune con l’altra, ma presto è stato possibile ricondurle tutte a una stessa società: Snowflake.
I primi indizi a riguardo sono arrivati proprio da Ticketmaster, che ha ammesso il furto dei dati dei propri clienti senza confermarne l’entità e affermando che non ci sarebbe stata una violazione diretta dei propri sistemi informatici, ma di quelli di un fornitore terzo di servizi. Snowflake però continua a mantenere molta riservatezza su quanto accaduto ed è quindi ancora complesso capire i dettagli dell’attacco.
Nel frattempo l’hacker che ha messo in vendita i dati, nickname Sp1d3r, ha dato un valore ad alcune delle informazioni rubate. 2 milioni di dollari per quelle di LendingTree e 1,5 milioni per Advance Auto Parts.
Come è avvenuto il furto di dati a Snowflake
Al momento buona parte delle certezze che si hanno riguardo all’attacco a Snowflake proviene direttamente dalla società. In un post sul blog dell’azienda, il responsabile per la cybersecurity Brad Jones ha ammesso che alcuni hacker avrebbero ottenuto dati di accesso alle piattaforme cloud tramite malware di infostealing.
Questi virus prendono di mira i dispositivi per poi rubare dal loro interno le credenziali salvate. In questo modo gli hacker possono poi utilizzare, oppure vendere, i dati sottratti ad altri criminali che li usano per prendere di mira aziende o altre entità. La caratteristica di questo attacco sarebbe stata la focalizzazione verso gli account senza autenticazione multifattoriale.
Si tratta di una misura di sicurezza, molto diffusa, che permette agli utenti di utilizzare due o più dispositivi per accedere a un account. Molte applicazioni di home banking la usano, obbligando gli utenti a utilizzare l’applicazione da cellulare anche quando vogliono accedere al sito internet via browser da computer. L’autenticazione multifattoriale rende però più lungo e macchinoso il processo di login e quindi a volte gli utenti vi rinunciano.
Qui però si ferma quanto scoperto per certo da Snowflake e dalle società di sicurezza informatica che ha assunto per indagare sul problema. Non è stata ad esempio individuata la provenienza delle informazioni utilizzate per accedere ai server, che non sarebbero state rubate né da dipendenti attuali né da ex dipendenti.
La società si è detta certa di poter escludere inoltre una vulnerabilità interna. I sistemi informatici di Snowflake quindi hanno funzionato come previsto e il danno sarebbe avvenuto su altri sistemi, dai quali sono state estratte le credenziali per accedere a Snowflake e rubare i dati delle aziende coinvolte.
Chi sono i responsabili dell’attacco hacker a Snowflake
Non conoscendo l’origine della falla che ha causato il furto delle credenziali, è anche difficile risalire a chi abbia commesso l’attacco hacker. Il profilo che ha venduto i dati si chiama Sp1d3, un nome che rimanderebbe a un famoso gruppo di criminali informatici adolescenti, Scatterei Spider. Non è però ancora stato possibile tracciare una connessione certa tra i due, anche a causa della confusione che aleggia ancora sull’intera vicenda.
Sembra però al momento escluso che dietro all’attacco possano esserci gruppi sostenuti da uno Stato. Negli ultimi anni infatti si sono diffusi collettivi di hacker collegati ai servizi segreti di Paesi come la Russia o la Cina, che hanno iniziato ad attaccare aziende e entità statali occidentali. Solitamente però questi hacker ricorrono al ransomware, un tipo di attacco molto più dannoso del semplice furto. I dati in questo caso non vengono infatti semplicemente rubati ma anche criptati e se l’azienda in questione vuole nuovamente avervi accesso deve pagare un riscatto.
Soltanto in caso di rifiuto gli hacker procedono a vendere i dati raccolti sul Dark Web, un processo più dispendioso in termini di risorse che il semplice riscatto. Non si hanno notizie però di comportamenti di questo tipo da parte di Sp1d3r, che avrebbe saltato la parte del riscatto per passare direttamente alla vendita dei dati, con uno stile di attacco più classico.
Moderno è invece il malware utilizzato per compiere l’originale attacco che ha permesso di arrivare alle credenziali di Snowflake: un infostealer. La diffusione di questo tipo di virus è tornata a essere molto comune in tempi recenti, permettendo agli hacker di recuperare password, numeri di carte di credito o anche semplicemente cookies, i piccoli pacchetti di dati che i siti mandano sul dispositivo di chi li visita per riconoscerlo e accumulare informazioni sulle sue abitudini.
Per rimediare a quanto accaduto Snowflake ha consigliato ai propri clienti di attivare sempre l’autenticazione in due fattori su ogni account. Con questa misura è molto più complesso sottrarre le credenziali di un utente, dato che a ogni tentativo di accesso viene generato un codice valido per pochi secondi e che compare soltanto su un dispositivo diverso da quello tramite cui si sta tentando di accedere al sito.