Pure Storage se ha presentado como la última víctima conocida de la violación de credenciales de Snowflake de rápida propagación, uniéndose a una lista de más de 150 organizaciones a las que una banda de ciberdelincuentes les robó sus datos después de que se violaron sus instancias de Snowflake.
El especialista en almacenamiento de datos dijo que había confirmado y solucionado un incidente de seguridad que involucraba el acceso no autorizado a un único espacio de trabajo de análisis de datos de Snowflake. Este espacio de trabajo contenía información de telemetría utilizada por los equipos de atención al cliente de Pure y se sabe que incluye nombres de empresas, nombres de usuario LDAP, direcciones de correo electrónico y números de versión del software Purity.
Pure intentó asegurar a los clientes que la información más confidencial, como contraseñas para acceder a la matriz o cualquier dato almacenado en los sistemas de los clientes, no forma parte de ninguna información de telemetría y no puede comunicarse más allá de la propia matriz de almacenamiento. Tampoco se puede utilizar la información de telemetría para obtener acceso a los sistemas de los clientes, afirmó.
“Pure Storage tomó medidas inmediatas para bloquear cualquier acceso no autorizado al espacio de trabajo. Además, no vemos evidencia de actividad inusual en otros elementos de la infraestructura Pure”, dijo la firma en un comunicado.
“Pure está monitoreando los sistemas de nuestros clientes y no ha encontrado ninguna actividad inusual. Actualmente estamos en contacto con clientes que tampoco han detectado actividad inusual dirigida a sus sistemas Pure.
“Los hallazgos preliminares de una empresa líder en seguridad cibernética con la que contratamos también validan la conclusión a la que llegamos con respecto a la información en el espacio de trabajo. Pure Storage sigue totalmente comprometido a brindar actualizaciones oportunas y transparentes a nuestros clientes y continuaremos monitoreando esta situación y utilizando este foro para actualizaciones importantes”.
La divulgación de Pure se produjo pocas horas después de que Mandiant publicara nueva información sobre el alcance del incidente de Snowflake, que atribuyó a un actor de amenazas rastreado como UNC5537, probablemente compuesto por piratas informáticos con sede principalmente en América del Norte.
Ahora se sospecha que UNC5537 lleva a cabo una campaña masiva de intrusiones en los clientes de Snowflake, utilizando credenciales robadas obtenidas principalmente del uso de malware de robo de información.
Mandiant dijo que en todos los ataques de los que tenía conocimiento, UNC5537 pudo obtener los datos porque los clientes de Snowflake habían descuidado la higiene básica de las credenciales, como el uso de autenticación multifactor (MFA). En muchos casos, dijo, las víctimas tampoco rotaron o actualizaron las credenciales de manera oportuna, mientras que otras fueron comprometidas por contratistas externos a quienes se les permitió conectarse a sus sistemas utilizando sus propias PC.
Pure Storage no ha abordado este punto al momento de escribir este artículo.
Ninguna AMF ya no es una opción
Chester Wisniewski, director y CTO de campo global de Sophos, expresó su frustración por el hecho de que las medidas básicas de seguridad de credenciales sigan siendo tan ignoradas cuando las consecuencias están tan bien establecidas.
“Así como no se puede comprar un automóvil sin cinturón de seguridad, implementar MFA ya no puede ser opcional. Las credenciales comprometidas siguen siendo una de las formas más comunes para que los atacantes vulneren los sistemas, lo cual está respaldado una y otra vez por hallazgos sobre el terreno. El informe Active Adversary más reciente de Sophos encontró que las credenciales comprometidas fueron la causa principal número uno de los ataques en 2023, y fueron la causa principal en un tercio de todos los ataques desde 2020”, dijo Wisniewski.
“Garantizar que MFA se implemente en todas y cada una de las cuentas que contienen datos confidenciales e importantes debe ser un esfuerzo de colaboración entre las empresas y sus proveedores de servicios. Las empresas deben implementar sólidos programas de higiene de la seguridad cibernética para sus empleados, mientras que los proveedores de servicios deben hacer cumplir políticas que impulsen a las organizaciones a implementar MFA al utilizar sus productos.
Añadió: “Una de las seis áreas de enfoque clave para los proveedores de software que firmaron el reciente compromiso Secure by Design de CISA fue mejorar la adopción de MFA entre sus clientes. Es un objetivo en el que Sophos cree firmemente y fue una de las razones por las que firmamos el compromiso. Alentamos a otros proveedores de software a hacer lo mismo”.