Datum Der Lagerriese Snowflake gab am 23. Mai 2024 bekannt, dass es bei ihm zu einem Datenverstoß gekommen sei Betroffen sind mindestens 165 seiner Kunden. Da es sich bei den Kunden von Snowflake um Branchenriesen wie LiveNation und Santander Bank handelt, entwickelt sich dieser Vorfall bereits jetzt zu einem der schwerwiegendsten Datenschutzverstöße der Geschichte.

Snowflake hat noch nicht genau bekannt gegeben, wie sich dieser Vorfall ereignet hat. Aussagen von Snowflake und den in seinem Namen tätigen forensischen Ermittlern deuten jedoch darauf hin, dass dieser Verstoß das Ergebnis eines Diebstahls von Anmeldeinformationen war.

Snowflake hat öffentlich erklärt dass „der Bedrohungsakteur persönliche Zugangsdaten zu einem Demokonto eines ehemaligen Snowflake-Mitarbeiters erlangte und darauf zugriff“, und Mandiant (das von Snowflake beauftragt wurde, bei der forensischen Untersuchung des Angriffs zu helfen), hat das angegeben „Die Untersuchung von Mandiant hat keine Hinweise darauf ergeben, dass der unbefugte Zugriff auf Snowflake-Kundenkonten auf einen Angriff auf die Unternehmensumgebung von Snowflake zurückzuführen ist. Stattdessen ließ sich jeder Vorfall, auf den Mandiant im Zusammenhang mit dieser Kampagne reagierte, auf kompromittierte Kundenanmeldeinformationen zurückführen.“

Benutzeranmeldeinformationen können auf verschiedene Arten gestohlen werden. Einige davon liegen innerhalb der Kontrolle der Organisation, andere nicht. Dennoch ist es hilfreich, sich die gängigsten Methoden anzusehen, mit denen Angreifer Anmeldeinformationen stehlen, und wie sich das Risiko verringern lässt, dass dies geschieht.

So stehlen Angreifer Anmeldeinformationen

  • Hashes schwacher Passwörter aus früheren Datendiebstählen: Passwörter zu merken ist schwierig und viele Benutzer machen sich einfach keine Gedanken darüber. Das macht die Wiederverwendung von Passwörtern zu einem der bekannten Übel moderner Identitätssicherheit. Wenn Sie außerdem mit dem Internet verbunden sind, sind Sie leider höchstwahrscheinlich Opfer einer Datenfreigabe geworden. Wenn man diese beiden Faktoren zusammennimmt, ergibt sich, dass frühere, groß angelegte und spektakuläre Sicherheitsverletzungen wahrscheinlich viele Passwörter enthalten, die nicht nur für die betroffenen Konten, sondern auch für viele andere Konten dieser Benutzer gültig sind.

Passwörter werden in Hashes verschlüsselt. Wenn es zu einem Datendiebstahl kommt, der Passwörter enthält, werden diese normalerweise in Hashes und nicht im Klartext gespeichert. Die ständige Weiterentwicklung der Rechenleistung macht es Angreifern jedoch immer leichter, Hashes im Klartextformat zu entschlüsseln. Obwohl selbst ein mittelmäßig sicheres Passwort einen Hash generiert, der zu komplex ist, um ihn in angemessener Zeit zu entschlüsseln, sind schwächere Passwörter für solche Taktiken anfällig. Und wenn diese Passwörter für mehrere Konten wiederverwendet werden, führt dies zu einer gefährlichen Offenlegung.

  • Konto teilen: Obwohl sie an sich kein Angriffsvektor sind, sind gemeinsam genutzte Konten eine häufige Quelle für die Offenlegung von Anmeldeinformationen. Dies liegt daran, dass das Risiko einer Offenlegung exponentiell steigt, wenn dieselben Anmeldeinformationen von mehreren Benutzern gemeinsam genutzt werden. Darüber hinaus verfügen gemeinsam genutzte Konten in der Regel über umfangreiche Berechtigungen (um den verschiedenen Anwendungsfällen verschiedener Benutzer gerecht zu werden) und haben in der Regel weder Single Sign-On (SSO) noch Multi-Faktor-Authentifizierung (MFA) aktiviert. Diese gemeinsamen Merkmale machen gemeinsam genutzte Konten zu bevorzugten Kandidaten für die Offenlegung von Anmeldeinformationen, mit verheerenden Auswirkungen auf Organisationen.
  • Phishing: Obwohl viele Organisationen proxybasierte URL-Filterdienste, sichere Web-Gateways (SWGs) und Endpoint-DLP-Lösungen verwenden, haben sich Cyberkriminelle angepasst und gelernt, traditionelle Anti-Phishing-Methoden zu umgehen. Dies liegt daran, dass herkömmliche Anti-Phishing-Methoden auf Feeds bekannter bösartiger URLs oder Texte basieren. Täter von Phishing-Schemata haben jedoch gelernt, kurzlebige URLs (oft nur wenige Minuten „aktiv“) und adaptive Texte zu verwenden und sich hinter legitimen Webhosting-Diensten zu verstecken, um einer Erkennung oder Blockierung zu entgehen.

Trotz aller Bemühungen, es zu bekämpfen, ist das gute alte Phishing immer noch da. Tatsächlich, laut der 2024 Verizon-Bericht zu Untersuchungen zu Datenschutzverletzungen (DBIR)ist Phishing für 40 % der Datenschutzverletzungen verantwortlich.

  • Schädliche Browsererweiterungen: Warum sollten Sie sich die Mühe machen, ahnungslose Benutzer zu Ihnen zu bringen, wenn Sie sie dazu bringen können, Sie auf ihren Computer zu bringen und Ihnen die Schlüssel zum Königreich zu geben? Browsererweiterungen sind zu einem festen Bestandteil der Browser-First-Welt geworden, und Benutzer verlassen sich häufig auf Erweiterungen für Kommunikation, Produktivität, Einkaufen und mehr.

Das Problem besteht jedoch darin, dass Browsererweiterungen routinemäßig umfangreiche Berechtigungen erteilt werden, darunter Passwörter, Cookies, Sitzungstoken und mehr. Bösartige Browsererweiterungen nutzen diese umfangreichen Berechtigungen, um Daten von den Computern der Benutzer zu stehlen, und sind zu einer bedeutenden Quelle des Diebstahls von Anmeldeinformationen geworden.

Umsetzbare Maßnahmen zur Minderung des Risikos:

Die oben genannten Techniken sind nur ein kleiner Einblick in die Bandbreite der Methoden, die Hacker verwenden, um Benutzeranmeldeinformationen zu stehlen. Dennoch gibt es mehrere sinnvolle und umsetzbare Schritte, mit denen Unternehmen das Risiko erheblich reduzieren können:

  • Erzwingen Sie sichere Passwörter: Es ist der älteste Trick der Welt, aber er ist immer noch gültig. Starke Passwörter erschweren es Angreifern, Passwörter mit Brute-Force-Methoden oder Reverse Engineering zu knacken, selbst wenn sie über enorme Rechenleistung verfügen.
  • Gemeinsam genutzte Konten eliminieren: Durch die Beseitigung gemeinsam genutzter Konten können Sie Ihre Angriffsfläche erheblich verringern und sicherstellen, dass jeder Benutzer über ein eigenes Konto verfügt, insbesondere wenn Sie dies mit der folgenden Empfehlung kombinieren –
  • SSO und MFA erzwingen: Indem Benutzer gezwungen werden, nur ihre Organisationskonten zu verwenden und die Verwendung von MFA vorgeschrieben wird, wird nicht nur ein höheres Maß an Schutz gewährleistet, sondern auch die Identitätsverwaltung und -einhaltung unterstützt.
  • Implementieren Sie Phishing-Schutz der nächsten Generation: Diese basieren nicht auf Feeds bekannter bösartiger Webseiten und URLs, sondern analysieren aktiv jede einzelne Webseite und erstellen eine eigene, unabhängige Risikobewertung.
  • Blockieren Sie riskante Browsererweiterungen: Verhindern Sie Passwortdiebstahl, Cookie-Harvesting und die Offenlegung von Sitzungstoken, indem Sie riskante Browsererweiterungen deaktivieren und blockieren.

So verringert LayerX die Offenlegung von Snowflake-Anmeldeinformationen

LayerX ist eine Browser-Sicherheitsplattform, die sich nativ in jeden Browser integrieren lässt. Sie bietet kontinuierliche Überwachung, Risikoanalyse und Echtzeitüberwachung aller Ereignisse und Benutzeraktivitäten während der Browsersitzung.

LayerX kann auf verschiedene Weise dazu beitragen, das Risiko einer Offenlegung von Snowflake-Anmeldeinformationen zu verringern:

  1. Erhalten Sie Einblick in die Nutzung von Snowflake-Anmeldeinformationen: Sehen Sie, welche Benutzer Snowflake-Konten verwenden und ob einige der Snowflake-Konten von mehreren Benutzern gemeinsam genutzt werden.
  2. Erzwingen der Rotation von Snowflake-Passwörtern: Stellen Sie sicher, dass alle Snowflake-Passwörter geändert werden, um jeden zukünftigen Zugriff zu blockieren.
  3. Erzwingen Sie die Verwendung von SSO für Snowflake-Konten: Stellen Sie sicher, dass alle Snowflake-Konten Unternehmensanmeldeinformationen verwenden, die durch SSO und MFA unterstützt werden.

Kontaktieren Sie uns noch heute, um eine Demo zu vereinbaren und sehen Sie, wie LayerX Sie schützen kann!