Nie znaleźliśmy dowodów sugerujących, że to działanie było spowodowane luką w zabezpieczeniach, błędną konfiguracją lub naruszeniem platformy Snowflake;
Nie znaleźliśmy dowodów sugerujących, że działanie to było spowodowane ujawnieniem danych uwierzytelniających obecnego lub byłego personelu Snowflake;
Wygląda na to, że jest to ukierunkowana kampania skierowana do użytkowników korzystających z uwierzytelniania jednoskładnikowego;
W ramach tej kampanii cyberprzestępcy wykorzystali dane uwierzytelniające zakupione wcześniej lub uzyskane w wyniku kradzieży informacji przy użyciu złośliwego oprogramowania; I
Znaleźliśmy dowody na to, że ugrupowanie zagrażające uzyskało osobiste dane uwierzytelniające i uzyskało dostęp do kont demonstracyjnych należących do byłego pracownika Snowflake. Nie zawierał wrażliwych danych. Konta demonstracyjne nie są połączone z systemami produkcyjnymi ani korporacyjnymi Snowflake. Dostęp był możliwy, ponieważ konto demo nie było objęte usługą Okta ani Multi-Factor Authentication (MFA), w przeciwieństwie do systemów korporacyjnych i produkcyjnych Snowflake.