Rok 2024 sa zapíše do dejín kybernetickej bezpečnosti ako rok, kedy jedna z najväčších cloudových platforiem na svete, Snowflake, čelila masívnemu zneužitiu dát. Tento incident nebol klasickým „hacknutím“ infraštruktúry v tradičnom zmysle slova, ale skôr sofistikovanou kampaňou zameranou na slabé miesta v prístupových údajoch zákazníkov. Zasiahnuté boli stovky popredných svetových firiem vrátane gigantov ako Ticketmaster, Santander či Advance Auto Parts. Útok odhalil kritickú pravdu o modernom cloude: aj tá najlepšie zabezpečená platforma je len taká silná, ako najslabší článok v reťazci – prístupové údaje používateľa. V tomto článku sa pozrieme hlboko pod povrch udalostí, analyzujeme technické zlyhania, ktoré viedli k úniku miliárd záznamov, a odpovieme na otázku, prečo sa tento scenár bude pravdepodobne čoskoro opakovať u iných SaaS poskytovateľov, ak firmy radikálne nezmenia svoj prístup k bezpečnosti.
Anatómia útoku: Čo sa v skutočnosti stalo v cloude Snowflake?
Útok na zákazníkov platformy Snowflake nebol výsledkom jedinej technickej zraniteľnosti (zero-day exploit) v samotnom systéme Snowflake. Podľa vyšetrovaní bezpečnostných firiem ako Mandiant a CrowdStrike išlo o rozsiahlu kampaň zameranú na credential stuffing. Útočníci využili prihlasovacie údaje, ktoré boli predtým ukradnuté pomocou infostealer malvéru z osobných a pracovných zariadení zamestnancov postihnutých firiem.
Hlavným problémom bolo, že mnohé z týchto účtov nemali aktivovanú viacfaktorovú autentifikáciu (MFA). Útočníci sa tak mohli jednoducho prihlásiť do klientskych prostredí Snowflake pomocou platných mien a hesiel. Akonáhle získali prístup, využili interné nástroje na hromadný export dát z databáz do externých cloudových úložísk. Tento proces bol nenápadný, pretože sa tváril ako legitímna aktivita oprávneného používateľa, čo sťažilo včasnú detekciu útoku systémami na monitorovanie anomálií.
3 kľúčové dôvody, prečo kyberzločinci uspeli
Úspech tejto kampane nebol náhodný. Kombinácia niekoľkých faktorov vytvorila „dokonalú búrku“, ktorú útočníci identifikovaní ako skupina UNC5537 majstrovsky využili:
- Absencia vynúteného MFA: Snowflake v tom čase striktne nevyžadoval viacfaktorovú autentifikáciu pre všetkých používateľov. Mnohé firmy túto možnosť ignorovali z dôvodu „pohodlia“ zamestnancov alebo kvôli starším automatizovaným skriptom, ktoré MFA nepodporovali.
- Dlhá životnosť prihlasovacích údajov: Ukradnuté heslá boli v mnohých prípadoch platné mesiace až roky. Firmy pravidelne nemenili prístupové kľúče a nevyužívali moderné metódy dynamickej autentifikácie.
- Vzostup infostealer malvéru: Malvéry ako RedLine alebo Vidar, ktoré kradnú heslá priamo z prehliadačov, sú dnes lacno dostupné na darknete. Útočníci mali k dispozícii obrovskú databázu „čerstvých“ prihlasovacích údajov, ktoré stačilo len systematicky testovať proti portálu Snowflake.
Model zdieľanej zodpovednosti a prečo naň firmy doplatili
Tento incident otvoril pálčivú diskusiu o takzvanom modeli zdieľanej zodpovednosti (Shared Responsibility Model). V cloudovom svete platí, že poskytovateľ (Snowflake, AWS, Azure) zodpovedá za bezpečnosť cloudu samotného – teda infraštruktúru, servery a fyzickú bezpečnosť. Avšak zákazník je zodpovedný za to, čo sa deje v cloude, vrátane správy identít, prístupových práv a šifrovania vlastných dát.
Mnohé z obetí útoku mylne predpokladali, že ak platia za špičkové cloudové riešenie, bezpečnosť je plne v réžii dodávateľa. Ignorovanie faktu, že konfigurácia prístupov je na pleciach klienta, viedlo k fatálnym následkom. Útočníci presne vedeli, kde končí zodpovednosť Snowflake a kde začína nedbalosť firiem. To je dôležitá lekcia pre každého IT manažéra: cloudový poskytovateľ vám môže postaviť „trezor“, ale ak necháte kľúče pod rohožkou, trezor vás nezachráni.
Zoznam obetí a rozsah uniknutých dát
Rozsah úniku bol kolosálny a zasiahli rôzne sektory od zábavy až po automobilový priemysel. Medzi najvýznamnejšie potvrdené obete patria:
- Ticketmaster: Únik informácií o viac ako 560 miliónoch zákazníkov vrátane mien, e-mailov a čiastočných údajov o platobných kartách.
- Advance Auto Parts: Ukradnutých bolo 380 miliónov záznamov, ktoré obsahovali citlivé informácie o zamestnancoch a vernostných programoch.
- Santander Bank: Banka potvrdila únik dát miliónov klientov a zamestnancov, čo vyvolalo obavy z následných phishingových útokov.
- LendingTree (QuoteWizard): Finančná platforma čelila úniku údajov miliónov používateľov hľadajúcich poistenie.
Tieto dáta sa následne objavili na hackerských fórach, kde boli ponúkané na predaj za státisíce dolárov. Nebezpečenstvo nespočíva len v samotnom úniku, ale v tom, ako môžu byť tieto dáta využité v budúcich útokoch na identitu osôb, ktorých údaje boli kompromitované.
Kto je skupina UNC5537 a ako operujú?
Analytici identifikovali aktéra hrozieb pod kódovým označením UNC5537. Ide o finančne motivovanú skupinu, ktorá nevykazuje známky štátom sponzorovaného kybernetického boja, ale o to je nebezpečnejšia svojou efektivitou. Ich modus operandi je priamočiary: nakúpia tisíce uniknutých záznamov z botnetov, automatizujú proces prihlasovania do populárnych SaaS platforiem a tam, kde narazia na chýbajúce MFA, okamžite exfiltrujú dáta.
Táto skupina sa nesnaží o zložité technické prieniky cez firewally. Namiesto toho využívajú fakt, že ľudia sú nepoučiteľní a recyklujú heslá naprieč súkromnými a pracovnými účtami. Členovia UNC5537 sú známi aj svojou drzosťou – po úspešnom úniku často priamo kontaktujú firmy a pokúšajú sa ich vydierať hrozbou zverejnenia dát, čím kombinujú únik dát s prvkami ransomware taktiky.
Ako sa chrániť pred ďalšou vlnou útokov na SaaS platformy
Útok na Snowflake nie je izolovaným incidentom, ale varovaním. Firmy musia prejsť na architektúru Zero Trust, kde sa žiadnemu používateľovi ani zariadeniu nedôveruje implicitne. Tu sú kľúčové kroky, ktoré by mala prijať každá organizácia využívajúca cloud:
1. Povinné vynucovanie MFA bez výnimiek. Akákoľvek platforma, ktorá obsahuje citlivé dáta, musí mať zapnuté MFA, ideálne s využitím hardvérových kľúčov alebo biometrie, ktoré sú odolné voči phishingu.
2. Monitoring prístupov z neobvyklých lokalít. Mnohé z útokov na Snowflake prichádzali z IP adries, ktoré postihnuté firmy bežne nepoužívajú. Nastavenie alertov na prihlásenie z nových krajín alebo cez VPN služby je kritické.
3. Pravidelná rotácia prihlasovacích údajov a sieťová segmentácia. Prístup k databázam by mal byť časovo obmedzený a viazaný na konkrétne sieťové prostredia (napr. povolené IP adresy kancelárie alebo firemnej VPN).
Incident so Snowflake v roku 2024 je bolestivou pripomienkou toho, že v ére cloudu už bezpečnosť perimeteru neexistuje. Jediným skutočným perimeterom je dnes identita používateľa. Tento útok ukázal, že stovky firiem, hoci investujú milióny do moderných technológií, podcenili základnú hygienu hesiel a správu prístupov. Úspech útočníkov nebol výsledkom ich geniálneho programovania, ale skôr systematického využívania ľudskej lenivosti a nesprávne pochopeného modelu zdieľanej zodpovednosti. Pre firmy to znamená jasný signál: spoliehať sa na bezpečnostné opatrenia cloudového partnera bez vlastnej aktívnej správy zabezpečenia je cesta k hazardu s reputáciou a financiami. Je takmer isté, že ďalším cieľom budú podobné platformy ako Salesforce, ServiceNow alebo marketingové cloudy, kde sa nachádzajú rovnako cenné dáta. Firmy, ktoré dnes neimplementujú prísne pravidlá pre prístup k identitám a nezačnú brať hrozbu infostealerov vážne, sú už teraz na zozname budúcich obetí. Kybernetická bezpečnosť v roku 2024 už nie je o tom, či máte firewall, ale o tom, či viete s istotou povedať, kto a za akých podmienok pristupuje k vašim najcennejším dátam v cloude. Ak túto kontrolu nemáte, vaše dáta už v podstate patria niekomu inému.
