安全研究人员报告称，数百名Snowflake云存储客户的“大量数据”通过泄露的登录凭证遭到窃取，该事件与Ticketmaster和SantanderBank的大规模数据泄露事件有关。

与Snowflake一起调查数据盗窃事件的安全公司Mandiant周一宣布，已将活动追踪到“以经济为目的的威胁行为者”，并确定其为UNC5537。自4月份发现持续的威胁活动以来，这两家公司已通知至少165个Snowflake客户组织可能已受到攻击，Mandiant表示其调查尚未发现“任何证据表明”Snowflake的企业环境遭到入侵。

Ticketmaster、SantanderBank和LendingTree子公司QuoteWizard近期的数据泄露都与这些公司使用的Snowflake云存储账户有关。到目前为止，有关这些账户如何被盗的官方细节很少，此前的一份第三方报告在Snowflake发表声明称平台本身没有过错后被撤下。

Mandiant经过调查后表示，尚未确定身份的UNC5537组织正在“系统性地入侵”Snowflake客户，这些登录凭据是通过历史信息窃取恶意软件感染非Snowflake系统而窃取的。其中一些凭据可追溯到2020年，它们使UNC5537能够从Snowflake客户实例中窃取数据，试图在网络犯罪论坛上出售这些数据并勒索受害者。

Mandiant表示，UNC5537活动已导致“多次成功入侵”，原因是受影响账户的安全措施不力，这些账户未更新被盗登录凭据，未使用多因素身份验证(MFA)或网络允许列表。Mandiant评估UNC5337可能会在“不久的将来”针对更多平台，因此受害者名单虽然大部分尚未确定，但预计还会增加。