La brecha en el integrador SaaS permitió a atacantes acceder a entornos de Snowflake mediante tokens robados, afectando a más de una docena de empresas y derivando en robo de datos e intentos de extorsión.
Una brecha de seguridad en un proveedor de servicios SaaS vinculado a la empresa Anodot derivó en una serie de accesos no autorizados a entornos de clientes que utilizan Snowflake, una plataforma en la nube empleada para almacenar y analizar grandes volúmenes de datos. El incidente no implicó una vulneración directa de la infraestructura de Snowflake, sino el uso de credenciales válidas obtenidas desde un tercero con acceso a estos entornos.
De acuerdo con los reportes de diferentes medios, los atacantes lograron acceder a tokens de autenticación almacenados en el sistema comprometido. Estos tokens permitieron ingresar a plataformas sin necesidad de usuario y contraseña, lo que facilitó el acceso a múltiples cuentas corporativas. Una vez dentro, los actores extrajeron información desde los entornos afectados, sin activar mecanismos tradicionales de detección asociados a accesos sospechosos.
Snowflake confirmó la detección de actividad anómala en un conjunto limitado de cuentas relacionadas con una integración externa. En una declaración entrega al medio Bleeping Computer, la compañía señaló que “recientemente detectamos actividad inusual en un pequeño número de cuentas de clientes de Snowflake vinculadas a una integración específica de terceros”. La empresa indicó que tomó medidas para bloquear los accesos comprometidos y notificar a las organizaciones impactadas.
Las investigaciones indican que más de una docena de compañías fueron afectadas por este incidente. Tras el acceso inicial, los atacantes habrían procedido a extraer datos sensibles y posteriormente iniciaron procesos de extorsión, contactando a las víctimas con amenazas de divulgar la información obtenida. Este patrón coincide con campañas recientes atribuidas a grupos especializados en monetizar accesos mediante robo y exposición de datos.
El punto inicial del ataque habría sido la vulneración de sistemas asociados a Anodot, proveedor que mantiene integraciones con plataformas de análisis de datos. Desde allí, los atacantes escalaron el acceso hacia entornos conectados, aprovechando permisos previamente otorgados. Este tipo de acceso indirecto permitió ampliar el alcance del incidente más allá de un solo sistema comprometido.
Fuentes cercanas a la investigación indican que los atacantes no necesitaron explotar fallas técnicas en Snowflake, sino que utilizaron accesos legítimos obtenidos previamente. Esto incluye el uso de tokens activos que no habían sido revocados, lo que permitió mantener persistencia dentro de los sistemas afectados durante el tiempo suficiente para completar la extracción de datos.
Tras la detección del incidente, las organizaciones involucradas iniciaron procesos de revisión de accesos, revocación de credenciales y análisis de impacto. Snowflake, por su parte, reiteró que su plataforma no fue comprometida directamente y que el incidente se limitó a cuentas específicas vinculadas a la integración afectada.