文章总结： 文章分析了RockstarGames数据泄露事件，攻击者通过第三方Anodot平台窃取Snowflake令牌后导出7860万条数据。核心发现是第三方供应链成为新攻击向量，存在令牌生命周期管理缺失、权限过大、异常检测不足三大问题。提供5项可操作防御建议：盘点集成令牌、设置过期时间、遵循最小权限原则、配置网络策略、定期审计日志。 综合评分： 87 文章分类： 数据安全,供应链安全,漏洞分析,安全运营,云安全

你的 Snowflake 账号可能正在裸奔——Rockstar 同款攻击的防御指南

原创

网络安全老宋 网络安全老宋

网络安全老宋

2026年4月17日 09:00 山东

在小说阅读器读本章

去阅读

8.1GB 数据，7860 万条记录，4 月 14 日被公开挂上暗网。

受害者是 Rockstar Games，做 GTA 的那家公司。泄露内容包括 GTA Online 内购数据、玩家行为追踪、反作弊系统源码、Zendesk 客服工单，还有部分财务信息。

黑客组织 ShinyHunters 勒索被拒后，直接把数据全放了。

这起事件最扎心的地方不是 Rockstar 被黑了，而是攻击路径。黑客压根没直接打 Rockstar，而是绕了一个弯，从一个做成本监控的第三方 AI 平台 Anodot 偷了令牌，再冒充合法服务登录 Snowflake 数据仓库，把数据拉了个干净。

你的公司里，有多少个第三方 SaaS 拿着你们数据库的访问令牌？这些令牌有没有过期时间？权限有多大？有人定期复查吗？

往下看。

攻击链还原：三步，每一步都不高明

整个攻击拆开来看，单拿出来都不算什么高级操作。但串在一起，就是一条完整的杀链。

第一步：打 Anodot。

Anodot 是一家做 AI 成本监控的以色列公司，帮企业分析云上开支，客户名单里一堆大厂。ShinyHunters 用什么手法突破的，目前公开信息还没完全披露。但有一点很明确：Anodot 作为第三方 SaaS，它的安全水位直接决定了客户的数据安全。

你给供应商开了门，供应商被撬了，小偷就走进了你家。

第二步：偷 Snowflake 认证令牌。

攻入 Anodot 之后，黑客在内部翻到了连接 Rockstar Snowflake 数据仓库的认证令牌。这个令牌是什么？你可以理解成一把”钥匙”，拿着它就能以 Anodot 的身份去访问 Rockstar 托管在 Snowflake 上的全部授权数据。

问题来了：这把钥匙是永久有效的吗？有人定期检查它还该不该存在吗？Anodot 做成本监控，真的需要读取玩家内购数据和反作弊源码吗？

第三步：伪装合法服务，绕过 MFA，导出数据。

拿着偷来的令牌，攻击者以 Anodot 的身份连接 Snowflake。因为 Anodot 本来就是 Rockstar 授权的合法服务，多因素认证（MFA）对这类服务间集成的令牌基本不起作用。接入之后，大量数据被导出，整个过程在日志里看起来跟正常业务查询毫无区别。

没有异地登录告警，因为没有”人”在登录，是服务端调用。没有权限越界告警，因为令牌本身就有这些权限。没有数据量异常告警，因为没人设这个规则。

整个过程安静得可怕。一切都很正常。直到 7860 万条记录出现在暗网上。

这不是孤例，而是一种趋势

Rockstar 不是第一个吃这种亏的，大概率也不会是最后一个。

2024 年，Snowflake 自己就出过类似的事。Ticketmaster 被窃取 5.6 亿用户信息，Santander 银行 3000 万客户数据泄露，AT&T 1.1 亿通话记录外泄。攻击手法几乎一模一样：从第三方窃取 Snowflake 认证令牌，冒充合法服务，大规模拉数据。

2024 年那波之后，Snowflake 官方还专门发了安全通告，建议客户轮换令牌、启用 MFA。一年过去了，Rockstar 还是中了同一招。说明什么？说明光有通告没用，光有工具没用，你得真的去执行。

这已经不是一个”新型攻击”了，这是一个成熟的、可复制的攻击模式。

为什么反复发生？三个原因，说白了都不新鲜，但就是没多少人认真处理。

① 令牌生命周期没人管。

很多企业的 API 令牌、服务账号令牌，创建的时候图省事不设过期时间。三个月前给第三方开的一个临时权限，半年后还在用，对接的人可能都离职了。更离谱的是，有些对接项目都结束了，令牌还活得好好的。

Anodot 拿到的那把钥匙，极有可能就没有设过期时间。

② 权限给得太随意。

Anodot 的业务是帮 Rockstar 做成本监控。成本监控需要什么？看看各服务的用量和账单就够了。但实际情况是，Anodot 的令牌被授予了大量数据导出权限，能直接拉玩家数据、财务数据、源码数据。

这就好比你请了个电工来修灯，结果给了他整栋楼的万能钥匙。灯修完了，钥匙没收回，而且这把钥匙能开金库。最小权限原则说了多少年，真到执行的时候呢？

③ 异常行为检测形同虚设。

攻击者用合法令牌导出数据，日志里记录的是 Anodot 在执行数据查询。没有异地点登录告警，因为是服务端对服务端的调用。没有权限越界告警，因为令牌本身就拥有这些权限。没有数据量异常告警，因为很少有人给第三方访问配审计规则。

这不是技术问题，是管理问题。买了安全工具不等于有了安全，你得配好规则，定期复查，有人负责。否则 SIEM 跑着、日志存着、告警响着，但没人看，跟没有一样。

你现在该干什么，师夷长技以制夷

别觉得这是大厂的事。只要你的公司用了 Snowflake、Databricks 或者任何云数据仓库，并且给过第三方访问权限，你就可能中同样的招。

以下几件事，今天就能做。

① 盘点所有第三方集成的令牌

登录你的 Snowflake 控制台，跑这两条 SQL：

-- 查看所有安全集成SHOW&nbsp;INTEGRATIONS;-- 查看三个月前创建但仍在活跃的旧账号SELECT&nbsp;user_name, created_on, last_loginFROM&nbsp;TABLE(INFORMATION_SCHEMA.USERS)WHERE&nbsp;created_on&nbsp;<&nbsp;DATEADD(MONTH,&nbsp;-3)ORDER&nbsp;BY&nbsp;last_login;

把每一个第三方集成的用途、授权人、创建时间列成一张表。找不到对应业务负责人的？立刻禁用。

② 给所有令牌设过期时间

Snowflake 支持对 OAuth 安全集成设置令牌生命周期：

-- 查看当前安全集成的令牌配置DESC&nbsp;SECURITY INTEGRATION&nbsp;<your_integration_name>;-- 修改令牌过期时间为 7 天ALTER&nbsp;SECURITY INTEGRATION&nbsp;<your_integration_name>SET&nbsp;OAUTH_TOKEN_LIFETIME&nbsp;=&nbsp;604800; &nbsp;-- 7天，单位秒

不知道该设多久的话，7 天是个合理的起点。业务上真的需要长期权限的，走人工审批续期，别开永久口子。

③ 收权限，只给最小的那个集

-- 查看某个角色目前拥有哪些权限SHOW&nbsp;GRANTS&nbsp;TO&nbsp;ROLE&nbsp;<third_party_role>;-- 收回不必要的权限（按需调整）REVOKESELECTON&nbsp;SCHEMA&nbsp;<sensitive_schema>FROM&nbsp;ROLE&nbsp;<third_party_role>;

原则就一条：第三方能读成本数据就够了，别给它导出用户信息的权限。角色分离，一个角色只干一件事。

④ 加网络策略，限制访问来源

-- 创建网络策略，只允许指定 IP 访问CREATE&nbsp;NETWORK POLICY third_party_policyALLOWED_IP_LIST&nbsp;=&nbsp;('<third_party_service_ip>')COMMENT&nbsp;=&nbsp;'限制第三方只能从指定IP访问';-- 应用到第三方用户ALTER&nbsp;USER&nbsp;<third_party_user>SET&nbsp;NETWORK_POLICY&nbsp;=&nbsp;third_party_policy;

就算令牌泄露了，攻击者也只能从指定的 IP 地址发起连接。多一层防护，少一分风险。

⑤ 开审计日志，定期人工复查

-- 查看近7天的数据导出操作SELECT query_text, start_time, user_name,       bytes_scanned, rows_producedFROM TABLE(INFORMATION_SCHEMA.QUERY_HISTORY)WHERE START_TIME > DATEADD(DAY, -7, CURRENT_TIMESTAMP())  AND query_text ILIKE '%COPY INTO%'ORDER BY bytes_scanned DESCLIMIT 50;

这条语句能帮你看到谁在导数据、导了多少。

如果某个第三方账号突然出现大量导出行为，那就是信号。

建议每周跑一次，人工看一遍。

⚠️ 注意：改权限之前先在测试环境验证，别直接改生产。改完之后让第三方确认功能正常，避免业务中断。权限回收比权限授予更危险，因为可能直接断掉正在运行的业务流程。

老宋总结说

这件事让我想明白一个趋势：云时代的安全边界早就不是你的防火墙了。

你的数据放在 Snowflake 里，钥匙分散在十几个第三方 SaaS 手中。Anodot 只是做成本监控的，却能拿到 Rockstar 核心业务数据的访问令牌。这不是技术漏洞，这是管理漏洞。

国家网络安全通报中心 4 月 10 日刚发了预警，点名 Apifox、LiteLLM、Axios 被集中投毒，攻击对象直接瞄准开发运维人员。再叠加这次 Rockstar 事件，信号已经够明显了：第三方供应链和开发者工具链，正在成为新的主攻方向。

回归本质，认证令牌就是新的”王冠珠宝”。你得像保护密码一样保护它，给它过期时间，限制它的权限范围，盯着它的每一次使用。零信任喊了这么多年，真正做的企业有多少？令牌不过期、权限不回收、行为不监控，这三样做到了几样？

⚠️ 这篇转发给你身边做数据开发和运维的同事，他们手里的令牌可能就是下一个漏洞入口。

我是老宋，下期见 👋

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全老宋 网络安全老宋 网络安全老宋《你的 Snowflake 账号可能正在裸奔——Rockstar 同款攻击的防御指南》