En octubre de 2024, las autoridades canadienses arrestaron a Alexander «Connor» Moucka, también conocido como «Waifu» y «Judische», sospechoso de liderar un ataque informático que comprometió los datos de cientos de millones de personas. Moucka, quien fue arrestado en Canadá bajo una solicitud de extradición de Estados Unidos, está vinculado con una serie de violaciones de seguridad que afectaron a más de 165 organizaciones clientes de Snowflake, una plataforma de almacenamiento en la nube.
Este ataque fue identificado como parte de la campaña de amenazas UNC5537, que se valió de malware infostealer para robar credenciales de acceso, afectando principalmente a aquellas empresas que no implementaron la autenticación multifactor (MFA).
La investigación conjunta de Snowflake, Mandiant y CrowdStrike reveló que las violaciones de datos se iniciaron en abril de 2024, con empresas como AT&T, Ticketmaster y Mastercard entre las más afectadas. En uno de los casos más graves, AT&T reportó el robo de información sensible de más de 109 millones de clientes, mientras que Ticketmaster vio expuestos los datos de 560 millones de usuarios, en gran parte debido a la falta de protección adecuada en sus cuentas de Snowflake.
Esa es sólo una pequeña parte de los 9.400 clientes de Snowflake, la lista completa incluye algunas de las empresas más grandes del mundo, como Mastercard, Micron, NBC Universal, Capital One, Adobe, AT&T, Kraft Heinz, Doordash, HP, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha y muchas otras.
Las violaciones de datos vinculadas a estos ataques, que comenzaron en abril de 2024, han afectado a cientos de millones de personas que utilizan los servicios de AT&T , Ticketmaster , Santander , Pure Storage , Advance Auto Parts , Los Angeles Unified , QuoteWizard/LendingTree y Neiman Marcus .
A fines de mayo, Ticketmaster confirmó que se habían robado datos de su cuenta Snowflake después de que un actor de amenazas conocido como ShinyHunters comenzara a recopilar datos de 560 millones de clientes de Ticketmaster .
En julio, AT&T también advirtió sobre una violación masiva de datos después de que actores de amenazas robaron los registros de llamadas de aproximadamente 109 millones de clientes (casi todos sus clientes móviles) de una base de datos en línea en la cuenta Snowflake de la compañía entre el 14 y el 25 de abril de 2024.
Desde entonces, Snowflake ha anunciado que aplicará la autenticación multifactor (MFA) para las cuentas creadas a partir de octubre de 2024 y requerirá que todas las contraseñas tengan al menos 14 caracteres.
Como respuesta a estos incidentes, Snowflake ha decidido imponer requisitos más estrictos en cuanto a seguridad, incluyendo la implementación obligatoria de MFA en todas las nuevas cuentas y la exigencia de contraseñas de al menos 14 caracteres. Estos cambios buscan prevenir futuros ataques y reforzar la protección de datos a nivel global.
