加拿大皇家騎警今年 10 月底在安省拘捕黑客 Alexander Moucka(又稱 Connor Moucka,或網名 Judische 或 Waifu)。涉及早前利用 Snowflake 在公共雲配置相關的安全漏洞,入侵逾百間企業盜取用戶資料,勒索贖金以免公開數據,為 2024 年最具影響力的黑客之一,受害企業包括 AT&T、桑坦德銀行等。
拘捕消息由彭博社和 404 傳媒先報道,加國司法部證實 10 月 30 日在安省 Kitchener 市拘捕 26 歲疑犯 Alexander Moucka。拘捕行動引用美國司法部發出的通輯令,疑犯在今星期二(11 月 5 日)交到法院開庭。惟加國司法部暫時未交待會否引渡。
大約在 2023 年底,黑客得知不少大型企業將客戶資料上傳到 Snowflake 建雲端數據倉庫,這些帳戶僅用基本用戶名稱和密碼保護,毋須多重身份驗證。其後在暗網市場交易大批企業的 Snowflake 帳戶憑證。
首間公開的受害企業是桑坦德銀行。Alexander Moucka 用網名 Judische 在 5 月 2 日經 TG 頻道 Star Chat 發佈入侵這間銀行的系統取得客戶數據。又在 5 月 13 日公開更多受害企業的名稱。
其後 AT&T 在今年 7 月公布遭黑客入侵盜去約 1 億 1,000 萬客戶的個人資料、電話和短訊記錄。而 Wired.com 同月報道,AT&T 曾付 37 萬美元贖金刪除數據。
Google Cloud Mandiant 調查事件,將這次攻擊定名「UNC5537」,發現黑客自 2024 年 4 月發起攻擊。有超過 160 間使用 Snowflake 的企業遭入侵,包括訂票網站 TicketMaster、貸款公司 Lending Tree、汽車維修公司 Advance Auto Parts、百貨公司 Neiman Marcus 等。
Google Cloud Mandiant 高級威脅分析師 Austin Larsen 指出:「這次攻擊行動令企業遭受重大數據損失和面對潛在勒索,突顯一個人使用現存工具亦能造成的驚人攻擊規模。這次拘捕對網絡犯罪分子起了一定威懾作用,他們的行為會帶來嚴重後果。」