Durante grande parte deste verão, um misterioso grupo de hackers realizou uma série histórica de grandes violações de dados, todas visando clientes da empresa de armazenamento de dados em nuvem Snowflake. Agora, um suposto hacker – que os especialistas acreditam ser o líder desse grupo – foi preso no Canadá e pode estar a caminho de um tribunal dos EUA.
Na segunda-feira, Bloomberg e 404 Mídia informou que um canadense chamado Alexander Moucka, também conhecido pelo nome de Connor Moucka, foi detido no final de outubro com base em um mandado de prisão provisória. Moucka então compareceu a uma audiência hoje, 5 de novembro, como parte do processo de extradição, 404 Mídia relatada pela primeira vez.
Sob os nomes dos hackers Waifu e Judische, acredita-se que Moucka seja uma figura notória no submundo do crime cibernético, diz Allison Nixon, pesquisadora de segurança e diretora de pesquisa da empresa de segurança Unit 221B, que há muito monitora sua atividade online. Ela alude à suposta atividade de hacking de Moucka anos antes das violações do Snowflake. “Eu estava esperando por este”, diz Nixon. “Waifu era o líder de um grupo responsável por muitas invasões importantes na última meia década.”
Atividades suspeitas vinculadas a contas de clientes Snowflake foram detectadas pela primeira vez em abril, de acordo com um relatório de junho da Empresa de segurança de propriedade do Google, Mandiantque foi contratado pela Snowflake para investigar conjuntamente o hacking. Os sistemas Snowflake da primeira vítima desconhecida foram acessados usando detalhes de login que foram anteriormente obtidos por malware infostealer, diz o relatório. Nos meses caóticos seguintes, mais de 165 clientes da Snowflake, de acordo com o relatório da Mandiant, potencialmente tiveram dados armazenados nos sistemas da Snowflake, expostos ou roubados. Centenas de milhões de registros da AT&T, do Santander, da proprietária da Ticketmaster, Live Nation Entertainment, e outros foram acessados na onda de hackers.
O relatório da Mandiant de junho dizia que a maioria das contas do Snowflake comprometidas não tinham a autenticação multifator ativada e as credenciais coletadas dos registros do infostealer – algumas datadas de 2020 – foram usadas para acessá-las. Desde as violações, a Snowflake atualizou seus sistemas para exigir que a autenticação multifatorial seja ativado por padrão.
Um porta-voz da Snowflake disse à WIRED que não tem comentários sobre a prisão. Ian McLeod, porta-voz do Departamento de Justiça do Canadá, diz que Moucka foi preso a pedido dos Estados Unidos. “Como os pedidos de extradição são considerados comunicações confidenciais de estado para estado, não podemos comentar mais sobre este caso”, disse McLeod.
