事件背景
云存储与数据分析巨头Snowflake因一份声称其遭遇"大规模入侵"的报告陷入舆论漩涡。上周四,云安全供应商Mitiga披露追踪为UNC5537的威胁组织正通过窃取凭证对Snowflake数据库客户实施身份攻击,目标账户均未启用双因子认证。
技术细节与争议
- 攻击手法:攻击者利用被盗凭证直接访问客户账户
- 平台安全争议:Hudson Rock报告称攻击者通过员工ServiceNow账户入侵Snowflake平台,获取会话令牌后访问客户数据库
- 官方回应:Snowflake否认平台存在漏洞、配置错误或产品滥用,强调无证据表明其平台被入侵
关键证据链
-
Snowflake与Mandiant、CrowdStrike联合声明确认:
- 攻击非因现职或离职员工凭证泄露
- 发现威胁分子曾通过前员工演示账户凭证访问系统
- 演示账户未包含敏感数据或企业系统访问权限
-
Hudson Rock迫于法律压力撤回报告,但仍在LinkedIn声明中坚持原有发现
行业影响
本期Risk & Repeat播客深度探讨:
- Snowflake安全现状反映的现代信息安全态势
- 云服务商在身份认证链条中的责任边界
- 第三方安全报告与法律合规的冲突平衡