Ein neuer Vorfall konzentriert sich erneut auf das Risiko, dass Unternehmen weiterhin unterschätzen: die Integration von Dritten als Mittel für den Massenzugriff auf sensible Daten. Nach Berichten, die von spezialisierten Medien gesammelt wurden, erlitten mehrere Organisationen Informationsdiebstahl nach dem Engagement eines SaaS-Integrationsanbieters; die Angreifer erhielten Authentifizierungstoken und nutzten sie zum Zugriff auf Cloud-Dienste, mit einem besonderen Interesse an Cloud-Datenspeicher- und Analyseplattformen.
Die meisten Exfiltrationsversuche konzentrierten sich auf Snowflake, die bekannte Warehouse-Datenplattform in der Cloud, die bestätigte, dass sie anormale Aktivitäten in Konten im Zusammenhang mit einer Integration von Drittanbietern erkannt und potenziell betroffenen Zugriff verhindert hatte. Snowflake wurde emphatic in der Klärung, dass es keinen Ausfall in seinen eigenen Systemen oder eine Verletzung der Infrastruktur des Unternehmens gab; der Eingriff wurde nach Beweisen auf Zugang zu außerhalb seines Umfangs erworbenen Anmeldeinformationen behoben. Sie können Snowflakes öffentliche Informationen auf seiner Website und auf seiner Statusseite konsultieren: Blog zum Thema und Statusseite.
Ecosystem-Quellen haben darauf hingewiesen, dass der Ursprung des Vorfalls das von Glassbox im November 2025 erworbene Anodot-Daten-Anomalie-Erkennungsunternehmen sein könnte, obwohl weder Snowflake noch die beteiligten Integratoren offizielle Namen in der ersten Mitteilung veröffentlicht haben. Anodot wird als Lösung vorgestellt, die maschinelles Lernen zur Identifizierung ungewöhnlicher Veränderungen in der Geschäfts- und Betriebsmetrie anwendet, und seine Rolle als Integrationspunkt mit Plattformen wie Snowflake stellt es in eine kritische Position: tiefer Zugriff auf Datenflüsse und damit ein interessantes Ziel für schädliche Akteure. Weitere Informationen zu Anodot in Ihre Website und über Glassbox in Glaskasten.
Die Angreifer, die die Autorität behaupteten, die von den Berichten als die Gruppe namens ShinyHunters identifiziert wurden, behaupteten, Daten von Dutzenden von Unternehmen zu haben und sie zu erpressen, um die Veröffentlichung der gestohlenen Informationen zu vermeiden. ShinyHunters ist ein Schauspieler, der in der Vergangenheit mit Lecks und Datenverkäufen spielte; Sie können Hintergrund über diese Gruppe in der öffentlichen Dokumentation, zum Beispiel in Ihr Tab auf Wikipedia und auf spezialisierte journalistische Analyse.
Ein Detail, das darauf aufmerksam gemacht wurde, war die Erwähnung von Versuchen, auf die Salesforce-Daten mit den gestohlenen Token zuzugreifen, die gemeldet entdeckt und blockiert wurden, bevor die Angreifer Informationen extrahierten. Das vergangene Jahr hat eine Reihe von Kampagnen gesehen, die auf Salesforce und andere CRM-Plattformen ausgerichtet sind, die den anhaltenden Druck auf Ressourcen mit kommerziell sensiblen Informationen hervorhebt. Salesforce informiert über seinen Status und seine Sicherheitspraktiken in Ihr Statusportal.
Unter den Unternehmen, die über den Vorfall berichteten, gab Payoneer an, dass es nach Überprüfung ihrer Integration keine Beweise für Auswirkungen auf ihre Systeme gab. Die Reaktion der Unternehmen auf solche Ausschreibungen variiert oft; einige Rechtsakte sofort, andere nehmen Zeit, um Umfang zu bestätigen und andere vermeiden, abweichende Details aus rechtlichen oder Eindämmungsgründen. Sie können Medienmitteilungen und Follow-up in spezialisierten Medien wie BlepingComputer die dies und andere ähnliche Kampagnen abgedeckt hat.
Es ist auch relevant, dass Gruppen wie die Google Threat Analysis Group haben berichtet, bewusst zu sein und im Anschluss an den Vorfall: Koordinierung zwischen Bedrohungs-Geheimdienst-Teams und Lieferanten ist der Schlüssel, um diese Ereignisse zu enthalten und ihre Verbreitung zu mildern. Die Antwortteams empfehlen unter anderem die Blockierung von engagiertem Zugriff, rotierenden Anmeldeinformationen und die Überprüfung von Protokollen, um Seitenbewegungen zu identifizieren, die unbemerkt geblieben sind. Die institutionellen Perspektiven für Cyberfälle und Minderungen können in offiziellen Ressourcen wie den Materialien der CISA und anderen Sicherheitsbehörden.
Darüber hinaus, wer hinter dem ersten Zugang war, stellt die Folge ein strukturelles Problem dar: eine legitime Integration zwischen den Diensten - diejenigen, die Arbeit erleichtern, automatisieren Prozesse und sind fast unsichtbar für viele Teams - kann wieder Türen werden, wenn sie nicht mit strengen Richtlinien verwaltet werden. Token und Integrationsberechtigungen sollten als Geheimnisse höchster Empfindlichkeit behandelt werden: muss ein kurzfristiges Auslaufen, Mindest-Fernbewilligungen haben und häufig gedreht werden. Darüber hinaus ist es wichtig, ein klares Inventar aufrechtzuerhalten, auf das externe Anwendungen Zugriff haben, auf welche Daten und mit welchen Privilegien, etwas, das viele IT-Umgebungen noch nicht mit der erforderlichen Disziplin tun.
Für die betroffenen oder gefährdeten Unternehmen gibt es praktische Schritte, die priorisiert werden müssen: Überprüfung und Begrenzung der Integration von Drittanbietern, zur Durchführung einer starken Authentifizierung und Datensegmentierung, um Warnungen über ungewöhnliche Zugriffsmuster zu ermöglichen und Pläne für die Reaktion auf Lecks vorzubereiten. Die Früherkennung war genau der Unterschied, der die Angreifer bei dieser Gelegenheit daran hinderte, Daten von Salesforce zu ziehen.
Wenn es eine Lektion gibt, die hervorgehoben werden soll, ist es, dass die Angriffsfläche nicht mehr nur der Server oder die eigene Anwendung ist, sondern der Komplex von externen Verbindungen, APIs und Token, die moderne Architektur bilden. Sicherheit erfordert heute Kontrollen, die das gesamte Ökosystem der Integration ansprechen, nicht nur die traditionellen Umkreise.
Diese Folge wird weiter entwickelt werden und die Aktualisierungen der beteiligten Lieferanten und der zufälligen Reaktionsteams sollten im Auge behalten werden. Für detailliertere und technische Follow-up, spezialisierte Räume wie BleepingComputer und offizielle Unternehmen Releases bieten aktuelle Informationen, während öffentliche und private Cybersicherheitsbehörden veröffentlichen Anleitungen, um die Verteidigung gegen Erpressung und Datendiebstahl zu stärken: BlepingComputer, Schneeflocke, Anodont, Glaskasten und CISA - StopRansomware.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...