Хакеры из группировки ShinyHunters, укравшей данные клиентов облачного провайдера Snowflake,
рассказали, что доступ к ним якобы удалось получить через взлом подрядчика — EPAM.
Компания Snowflake предоставляет услуги по хранению и аналитической обработке данных. Масштабная кибератака потенциально могла затронуть около 165 учётных записей её клиентов, но пока идентифицированы лишь некоторые из них.
О взломе своего аккаунта в Snowflake заявил Santander — как выяснило издание Wired, была украдена информация о банковских счетах 30 млн клиентов испанского банка, включая номера счетов и кредитных карт, а также кадровые данные сотрудников. Snowflake не раскрыла, как хакеры получили доступ к клиентским аккаунтам, но сказала, что они не взламывали сеть компании напрямую. Принадлежащая Google организация Mandiant, которая расследует инцидент,
сообщила, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, хотя не назвала их.
Хакер, с которым общался Wired, заявил, что одним из таких подрядчиков якобы был EPAM. По его словам, компьютер одного из сотрудников компании был заражён вредоносным ПО, которое позволило злоумышленникам получить доступ к данным на устройстве. Они обнаружили незашифрованные имена пользователей и пароли, с помощью которых сотрудник EPAM получал доступ к учёткам Snowflake ряда крупных клиентов компании, в том числе Ticketmaster. Эти данные хранились в системе управления проектами Jira.
В EPAM в комментарии Wired опровергли причастность ко взломам и предположили, что хакер сфабриковал эту историю. На другие вопросы, в том числе с указанием имени сотрудника и его учётных данных для доступа к аккаунту Snowflake Ticketmaster, в EPAM не ответили.
Вскоре после выхода статьи на Wired компания опубликовала
опровержение, в котором назвала заявления хакера "кампанией по дезинформации". Исходя из результатов внутреннего расследования, а также сведений Mandiant и своих клиентов, EPAM пришла к выводу, что не причастна ко взлому Snowflake.
