Blog

Brecha masiva de seguridad en Snowflake: cronología del ataque que afectó a Banco Santander y TicketMaster entre otros

Los autores de las recientes brechas a Banco Santander y Ticketmaster afirman que los datos fueron robados tras acceder a la cuenta de un empleado de la empresa de almacenamiento en la nube Snowflake. Sin embargo, Snowflake rechaza estas afirmaciones, diciendo que las recientes violaciones fueron causadas por cuentas de clientes mal protegidas.

Según la empresa de ciberseguridad Hudson Rock, el autor de la amenaza afirma que también obtuvo acceso a datos de otras empresas de alto perfil que utilizan los servicios de almacenamiento en la nube de Snowflake, como Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate y Advance Auto Parts.

El autor de la amenaza afirma que quería extorsionar a Snowflake para que le recomprara los datos robados por 20 millones de dólares, pero la empresa no respondió a sus intentos de extorsión.

Nuevamente, un Ataque a la Cadena de Suministro.

Caso Santander

A medida que ha avanzado el caso más antecedentes han salido a la luz con respecto a este caso. En una investigación realizada por Hudson Rock se dio a conocer que el origen del ataque comenzó mucho antes del 10 de mayo, fecha en que la filial chilena de Banco Santander reportó a Comisión para el Mercado Financiero (CMF) el incidente, el cual, según indicó la comunicación bancaria, tuvo origen en España y afectó a una base de datos alojada en un proveedor externo.

Según el actor de amenaza, los datos puestos a la venta incluyen:

  • 30 millones de datos de clientes.
  • 64 millones de datos de cuentas y saldos.
  • 28 millones de tarjetas de crédito.
  • Listas de empleados de Recursos Humanos.

El precio de esta información se ha fijado en 30 bitcoins, aproximadamente 2 millones de dólares estadounidenses.

Banco Santander indicó en el 14 de mayo que no hay información de claves y contraseñas comprometidas.

Caso Ticketmaster

Al igual que el caso bancario, la venta de información de Ticketmaster se puso a la venta inicialmente el 26 de mayo. Según el actor de amenaza, el volumen de los datos ascendía a 1,3 TB de información.

La información extraída contenía:

  • 560 millones de datos usuarios con nombre, dirección, email y teléfono.
  • Información de tickets, eventos y ordenes de compra
  • Datos de tarjetas de crédito y otros.

El actor de amenazas ShinyHunters afirmó que hay compradores interesados en los datos y sugirió que uno de ellos podría ser Ticketmaster. Sin embargo, no proporcionó detalles sobre cómo y cuándo se robaron los datos, indicando que “no pueden decir nada al respecto”.

Cronología de la Intrusión y Ataques

  • 5 de octubre de 2023:
    • Un empleado de Snowflake fue infectado por un Infostealer del tipo Lumma. Las credenciales sensibles del empleado, incluyendo detalles de inicio de sesión en servidores específicos de Snowflake, fueron comprometidas.
  • 10 de mayo de 2024:
    • Banco Santander Chile informa a través del sistema de Reporte de Incidentes Operacionales de la CMF, la vulnerabilidad sufrida por el Grupo Santander España.
  • 14 de mayo de 2024:
    • Se da a conocer a la opinión pública la brecha, donde se indica, mediante un comunicado de prensa que «no existe información de contraseñas y claves comprometidas, por lo cual los fondos de clientes están seguros».
  • 24 de mayo de 2024:
    • Actor de amenazas pone en venta la información robada a Banco Santander
  • 26 de mayo de 2024:
    • Actor de amenaza pone en venta la información robada a Ticketmaster
    • En una conversación de Telegram, un actor de amenazas afirmó haber hackeado a dos grandes compañías: Ticketmaster y Banco Santander. Hudson Rock descubrió que el hackeo se originó a partir de una vulnerabilidad en un proveedor único: Snowflake. El actor de amenazas explicó que lograron acceder a la cuenta de ServiceNow de un empleado de Snowflake.
  • 31 de mayo de 2024:

Consecuencias para las personas

La exposición de datos personales puede tener serias consecuencias para los afectados. Entre los riesgos se incluyen:

  • Fraude Financiero: Los ciberdelincuentes pueden usar la información de cuentas y tarjetas de crédito para realizar transacciones fraudulentas.
  • Robo de Identidad: Con datos personales como nombres, direcciones y números de teléfono, los delincuentes pueden intentar hacerse pasar por las víctimas.
  • Ataques Dirigidos: Los empleados del banco podrían ser objeto de ataques de phishing o spear phishing utilizando la información robada.

Recomendaciones para personas

Ante esta situación, es fundamental que tanto los clientes como los empleados del Banco Santander tomen medidas inmediatas para proteger su información personal y financiera:

  1. Monitorear Cuentas: Vigilar regularmente las transacciones de sus cuentas bancarias y reportar cualquier actividad sospechosa.
  2. Cambiar Contraseñas: Asegurarse de cambiar las contraseñas de todas las cuentas relacionadas y utilizar contraseñas robustas.
  3. Activar Autenticación Multifactor (MFA): Añadir una capa adicional de seguridad a las cuentas mediante MFA.
  4. Educarse sobre Phishing: Ser consciente de los correos electrónicos y mensajes sospechosos que intentan obtener información personal.

Recomendaciones para empresas

10 recomendaciones de seguridad para empresas, sobre como protegerse de ataques a la cadena de suministro y el robo de datos almacenados en proveedores y/o terceros.

1. Evaluación de Riesgos del Proveedor

  • Auditorías de Seguridad: Realizar auditorías regulares y evaluaciones de seguridad de los proveedores para asegurarse de que cumplen con los estándares de seguridad requeridos.
  • Clasificación de Proveedores: Clasificar a los proveedores según el nivel de acceso a la información sensible y el riesgo que representan.

2. Contratos y Acuerdos

  • Cláusulas de Seguridad en Contratos: Incluir cláusulas específicas de seguridad en los contratos con los proveedores, como la obligación de notificar cualquier incidente de seguridad.
  • Acuerdos de Nivel de Servicio (SLA): Definir claramente las expectativas de seguridad y los niveles de servicio que deben cumplir los proveedores.

3. Acceso y Control de Datos

  • Principio de Mínimos Privilegios: Limitar el acceso de los proveedores a la mínima cantidad de información necesaria para realizar sus tareas.
  • Segregación de Datos: Mantener los datos sensibles segregados y asegurarse de que los proveedores no tengan acceso a toda la información de la empresa.

4. Monitorización y Auditoría Continua

  • Monitorización de Actividades: Implementar soluciones de monitorización para rastrear las actividades de los proveedores en tiempo real.
  • Auditorías Regulares: Realizar auditorías de seguridad periódicas para detectar y corregir vulnerabilidades.

5. Encriptación y Protección de Datos

  • Encriptación de Datos: Asegurarse de que los datos sensibles estén encriptados tanto en tránsito como en reposo.
  • Protección de Información Crítica: Implementar controles adicionales para proteger la información más crítica.

6. Gestión de Incidentes

  • Planes de Respuesta a Incidentes: Desarrollar y probar planes de respuesta a incidentes específicos para los proveedores.
  • Notificación de Incidentes: Establecer un proceso claro para la notificación y gestión de incidentes de seguridad por parte de los proveedores.

7. Capacitación y Concienciación

  • Capacitación en Seguridad: Proporcionar capacitación en seguridad a los empleados y a los proveedores para que estén al tanto de las mejores prácticas y de las amenazas emergentes.
  • Concienciación: Promover una cultura de seguridad tanto dentro de la empresa como entre los proveedores.

8. Tecnologías y Herramientas de Seguridad

  • Sistemas de Gestión de Identidades y Accesos (IAM): Utilizar herramientas IAM para gestionar y supervisar los accesos de los proveedores.
  • Soluciones de Seguridad de Endpoint: Implementar soluciones de seguridad para proteger los dispositivos y sistemas de los proveedores.

9. Revisiones Regulares de Terceros

  • Evaluaciones Externas: Contratar evaluaciones de seguridad externas para obtener una visión imparcial de la seguridad de los proveedores.
  • Certificaciones de Seguridad: Fomentar que los proveedores obtengan certificaciones de seguridad reconocidas, como ISO 27001 o SOC 2.

10. Evaluación Continua y Mejora

  • Reevaluaciones Periódicas: Realizar reevaluaciones periódicas de los riesgos y la seguridad de los proveedores.
  • Mejora Continua: Establecer un proceso de mejora continua para actualizar y fortalecer las políticas y prácticas de seguridad.

Conclusión

El robo y venta la información robada a Banco Santander y Ticketmaster en la dark web es un recordatorio de los riesgos a los que están expuestas todas las instituciones que manejan tal volumen de datos personales y otros. La adopción de medidas de seguridad adecuadas y la colaboración entre todos los actores del ecosistema digital son esenciales para prevenir futuros incidentes. En CronUp, seguimos comprometidos con la seguridad cibernética y estamos aquí para ayudar a las organizaciones a fortalecer su defensa contra estas amenazas emergentes.

Referencias

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required