Violação massiva de dados da AT&T aprofunda crise para Snowflake sete semanas após hack ter sido divulgado

Floco de neve passou as últimas sete semanas lidando com as consequências de um grande ataque cibernético que comprometeu dados confidenciais de clientes em vários de seus clientes. Os problemas da empresa de software ficaram muito piores.

Gigante das telecomunicações AT&T disse em um arquivamento regulatório na sexta-feira, que hackers invadiram uma plataforma de nuvem que abriga dados de clientes, obtendo acesso a registros de chamadas e mensagens de texto de assinantes durante um período de seis meses em 2022. Os dados incluem números de telefone, duração agregada das chamadas e alguns detalhes da rede celular, disse a AT&T no processo.

Um porta-voz da AT&T disse à CNBC que o serviço de nuvem era propriedade da Snowflake. As ações da Snowflake caíram 1,8% na sexta-feira, enquanto a Nasdaq subiu 0,6%.

É o incidente mais grave desde Snowflake divulgado a violação em 30 de maio, escrevendo em uma postagem de blog na época, “Tomamos conhecimento de acesso potencialmente não autorizado a certas contas de clientes em 23 de maio de 2024.” A Snowflake contou com a ajuda do fornecedor de software de segurança cibernética Greve de multidão e Alfabeto Mandiant para investigar.

Mandiant escreveu em um postagem de blog no mês passado que, por meio de seu “Programa de Notificação de Vítimas”, a empresa e a Snowflake alertaram 165 “organizações potencialmente expostas” sobre o incidente. A Mandiant culpou o hack em um grupo motivado financeiramente que chama de UNC5537, com membros na América do Norte e Turquia. O UNC5537 utilizou credenciais de login que estavam disponíveis online depois de terem sido roubadas separadamente usando malware.

Antes de sexta-feira, as empresas mais notáveis ​​ligadas à violação do Snowflake eram Peças de automóvel avançadasLendingTree, Operador Ticketmaster Nação Viva e Banco Santanderque disse em meados de maioantes da divulgação da Snowflake, “recentemente tomamos conhecimento de um acesso não autorizado a um banco de dados do Santander hospedado por um provedor terceirizado”.

A AT&T é muito maior. A empresa tinha 242 milhões clientes para seus serviços de mobilidade sem fio nos EUA no final do ano passado, com 128 milhões de dispositivos conectados.

A operadora disse que os dados da violação envolvem “quase todos os clientes sem fio da AT&T e clientes de operadoras de rede móvel virtual” que usam sua rede sem fio.

“Embora os dados não incluam nomes de clientes, muitas vezes há maneiras, usando ferramentas online disponíveis publicamente, de encontrar o nome associado a um número de telefone específico”, escreveu a AT&T. Os invasores não obtiveram acesso ao conteúdo de chamadas ou textos.

Um porta-voz da Snowflake não forneceu um comentário quando questionado sobre o hack da AT&T. O porta-voz apontou para as declarações anteriores da empresa sobre o ataque.

A Mandiant disse em sua postagem de blog que algumas das infecções por malware nos sistemas da Snowflake datam de 2020, e as credenciais eram, em alguns casos, ainda válidas anos após terem sido roubadas. Em certos casos, as credenciais foram obtidas em PCs usados ​​por contratados para clientes da Snowflake — dispositivos que também eram usados ​​para atividades pessoais, incluindo download de software pirateado.

Os nomes de usuário e senhas foram suficientes para que o UNC5537 entrasse nos ambientes Snowflake dos clientes porque eles não tinham ativado a autenticação multifator, disse a Mandiant. A partir daí, os hackers exportaram “um volume significativo de dados de clientes”. Desde então, o UNC5537 começou a extorquir vítimas e a tentar vender dados de clientes online, acrescentou a Mandiant.

A AT&T disse na sexta-feira que não acredita que o ataque terá um efeito material em suas finanças.

Mas Snowflake tem alertou os investidores que poderia enfrentar danos à reputação e “responsabilidades significativas” se a empresa “sofresse uma violação de segurança real ou percebida ou se partes não autorizadas obtivessem acesso aos dados de nossos clientes, nossos dados ou nossa plataforma”.

No início desta semana, a Snowflake publicou um postagem de blog dizendo que os administradores podem impor o uso obrigatório da autenticação multifator.

A saga que se aprofunda representa um desafio crescente para Sridhar Ramaswamy, um antigo executivo da Google que em Fevereiro substituído Frank Slootman como CEO da Snowflake. Dias antes da divulgação do hacking, as ações da Snowflake caíram 5% após a gerência reduzir a previsão de lucro operacional ajustado da empresa para o ano inteiro.

A Snowflake, fundada em 2012, abriu o capital em 2020, levantando mais de US$ 3 bilhões na maior oferta pública inicial de todos os tempos para uma empresa de software. Desde uma grande pop do primeiro dia que elevou seu valor de mercado para mais de US$ 70 bilhões, a Snowflake caiu em valor, com suas ações fechando em US$ 134,73 na sexta-feira, para uma avaliação de cerca de US$ 45 bilhões.