Plus d’une douzaine d’entreprises ont été touchées par des attaques de vol de données suite à une violation de sécurité chez un fournisseur d’intégration SaaS, entraînant le vol de tokens d’authentification.
Bien que plusieurs fournisseurs de stockage en cloud et de SaaS aient été ciblés avec ces tokens dérobés, la plupart des attaques ont principalement visé la plateforme de data warehouse en cloud Snowflake.
Snowflake a confirmé à BleepingComputer avoir détecté une « activité inhabituelle », précisant qu’un petit nombre de ses clients avait été affecté.
« Nous avons récemment observé une activité atypique dans un nombre restreint de comptes clients Snowflake liés à une intégration tierce spécifique, » a déclaré la société. « Nous avons immédiatement lancé une enquête et, par mesure de précaution, nous avons verrouillé les comptes clients potentiellement affectés. Nous avons également informé ces clients et fourni des conseils pour renforcer la sécurité de leurs comptes. »
Snowflake a insisté sur le fait que ces attaques n’impliquaient ni vulnérabilité ni compromission de ses systèmes.
Dans le cadre de ces attaques, les pirates ont tenté d’utiliser les tokens dérobés pour accéder à des données sur Salesforce, mais ont été détectés avant de réussir.
Vol de données lié à une violation supposée d’Anodot
Snowflake n’a pas confirmé l’identité du partenaire d’intégration tiers impliqué, mais plusieurs sources indiquent que ces attaques proviennent d’un incident de sécurité chez Anodot, une entreprise spécialisée dans la détection d’anomalies basées sur l’IA.
Anodot, qui utilise l’apprentissage automatique pour identifier des changements inhabituels dans les données opérationnelles, a été acquise par Glassbox en novembre 2025.
Des sources rapportent que de nombreuses entreprises sont actuellement sous pression de la part du groupe de chantage ShinyHunters, qui exige des paiements pour éviter la publication de données volées.
Après avoir pris connaissance des attaques, ce groupe a déclaré à BleepingComputer qu’il était responsable, affirmant avoir volé des données de plusieurs compagnies. Ils ont également confirmé leur tentative d’accès à Salesforce, interrompue par des systèmes de détection basés sur l’IA.
Cette tentative ratée s’inscrit dans un contexte de nombreuses attaques de vol de données visant les clients de Salesforce au cours de l’année écoulée.
Les acteurs de ces attaques ont également insinué qu’ils avaient accès à Anodot depuis un certain temps. Bien qu’ils aient mentionné plusieurs entreprises affectées, BleepingComputer ne les nommera pas sans confirmation.
Uniquement Payoneer, parmi les entreprises contactées, a répondu en confirmant sa connaissance de l’incident mais en précisant qu’elle n’avait pas été impactée.
« Nous sommes au courant d’un incident de sécurité impliquant un prestataire de service tiers, Anodot. Après vérification, Payoneer n’a pas été affecté, » a déclaré la société dans un communiqué.
Le Google Threat Intelligence Group, qui surveille de près les campagnes de vol de données, a également confirmé être au courant de l’incident, sans plus de détails à partager pour l’instant.
BleepingComputer a tenté de joindre Anodot et sa maison mère, Glassbox, mais n’a pas encore reçu de réponse.