Snowflake schilderte den Ablauf gegenüber BleepingComputer im Detail: Man habe „kürzlich ungewöhnliche Aktivitäten in einer kleinen Zahl von Snowflake-Kundenkonten festgestellt, die mit einer bestimmten Drittanbieter-Integration verknüpft waren". Daraufhin habe man umgehend eine Untersuchung eingeleitet, potenziell betroffene Konten vorsorglich gesperrt und die Kunden mit vorbeugenden Hinweisen zum Schutz ihrer Konten versorgt. Das Unternehmen stellte zugleich klar, dass bei den Angriffen keine Schwachstelle und keine Kompromittierung der eigenen Systeme im Spiel war.

Im Zuge der Angriffe versuchten die Täter den Angaben zufolge, die gestohlenen Token auch zum Abgriff von Daten aus Salesforce zu nutzen. Dieser Versuch wurde jedoch erkannt, bevor er erfolgreich sein konnte. Er fällt in eine seit einem Jahr anhaltende Welle von Datendiebstahl-Angriffen, die sich gegen Salesforce-Kunden richtet.

Welcher Integrationspartner konkret betroffen war, wollte Snowflake nicht bestätigen. Mehrere Quellen nannten gegenüber BleepingComputer jedoch das Unternehmen Anodot als Ausgangspunkt. Anodot bietet KI-gestützte Analysen und Anomalie-Erkennung in Echtzeit für geschäftliche und betriebliche Daten an, etwa um auffällige Veränderungen bei Umsätzen, Transaktionen oder Systemleistung automatisch aufzuspüren. Das Analyseunternehmen Glassbox übernahm Anodot im November 2025.

Die Erpressergruppe ShinyHunters bestätigte gegenüber BleepingComputer, hinter den Angriffen zu stehen. Sie behauptet, an einem Freitag Daten von Dutzenden Unternehmen erbeutet zu haben. Auch den Versuch, Daten aus Salesforce zu stehlen, bestätigte die Gruppe; nach eigener Darstellung sei sie dabei von einer KI-gestützten Erkennung blockiert worden. Die Täter führten den Angriff ebenfalls auf einen Sicherheitsvorfall bei Anodot zurück und deuteten an, sie hätten bereits seit einiger Zeit Zugriff auf das Unternehmen gehabt.

ShinyHunters nannte einige der angeblich betroffenen Firmen, doch BleepingComputer veröffentlicht diese Namen nicht ohne Bestätigung. Lediglich ein Unternehmen, Payoneer, reagierte auf Anfragen und erklärte, man habe Kenntnis von dem Vorfall beim Drittanbieter Anodot, sei aber nach eigener Prüfung nicht betroffen.

Auch Googles Threat Intelligence Group, die viele der diesjährigen Datendiebstahl-Kampagnen verfolgt, bestätigte gegenüber BleepingComputer, dass ihr der Vorfall bekannt sei und sie ihn beobachte; weitere Angaben machte sie zunächst nicht. Anodot und der Mutterkonzern Glassbox ließen mehrere Anfragen unbeantwortet.