Advance Auto Parts, ABD’nin birçok eyaletindeki başsavcılık ofislerine bildirimde bulunarak, saldırganların MFA koruması olmadan ele geçirilen Snowflake hesapları üzerinden gerçekleştirdikleri büyük çaplı veri ele geçirme çalışmasının bir parçası olarak 2,3 milyondan fazla kişinin kişisel bilgilerinin çalındığını doğruladı.
Şirket, Mayıs ayında, verileri barındıran üçüncü taraf olarak ABD merkezli bulut tabanlı veri depolama ve analiz şirketi Snowflake’un adını vermeden, söz konusu uzlaşmayı ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirdi.
Hangi tür veriler tehlikeye atıldı?
Etkilenen Advance Auto Parts müşterilerine gönderilen veri ihlali bildirimlerinde, tehdit aktörünün kullanıcıların kişisel bilgilerini (isim, Sosyal Güvenlik numarası, ehliyet veya devlet tarafından verilen diğer kimlik numarası ve doğum tarihi) sızdırdığı belirtiliyor.
“Bu bilgiler Advance Auto Parts iş başvuru sürecinin bir parçası olarak toplandı” açıklamasında bulundular ve etkilenen kişilere ücretsiz olarak redit izleme ve kimlik restorasyonu hizmetleri sundular.
MFA koruması olmayan Snowflake hesapları üzerinden 160’tan fazla kuruluşa erişim ihlali yapıldı
Snowflake, en başından beri müşteri hesaplarının ele geçirildiğini ve çok faktörlü kimlik doğrulaması (MFA) uygulanmayan hesaplara ait ele geçirilmiş kimlik bilgilerinin kullanılarak veri tabanlarının çalındığını savunuyordu.
Mandiant ve Crowdstrike tarafından yapılan sonraki araştırmalar, şirketin sistemlerinin bir güvenlik açığı veya yanlış yapılandırma nedeniyle ihlal edilmediğini veya erişilmediğini ve “tehdit aktörü tarafından kullanılan kimlik bilgilerinin çoğunun geçmişteki bilgi hırsızı enfeksiyonlarından elde edildiğini” doğruladı.
Mandiant analistleri, “Etkilenen müşteri örnekleri çok faktörlü kimlik doğrulaması gerektirmiyordu ve birçok durumda kimlik bilgileri dört yıla kadar döndürülmemişti. Ağ izin listeleri ayrıca güvenilir konumlara erişimi sınırlamak için kullanılmadı” dedi.
Bu saldırıdan TicketMaster, Santander Group, LendingTree ve Advance Auto Parts dahil olmak üzere yaklaşık 165 Snowflake müşterisi etkilendi.
Dersler öğrenildi
Hesaplarını düzgün bir şekilde güvence altına almak müşterilerin görevi olsa da, güvenlik araştırmacısı Kevin Beaumont, şirketin MFA’yı (kurum genelinde) etkinleştirmeyi çok kolay hale getirmediğini ve MFA’sı olmayan kullanıcıları engellemeye yönelik bir politikanın bulunmadığını belirtti.
Bu olay sonunda Snowflake’u bu konuda bir şeyler yapmaya zorladı: Snowflake CISO’su Brad Jones ve baş ürün müdürü Anoosh Saboori Salı günü şirketin şunları duyurdu:
- Kurumsal yöneticilerin Snowflake hesabındaki tüm kullanıcılar için MFA gerektirmesine olanak tanıyan yeni bir kimlik doğrulama politikası
- Snowsight (Snowflake web arayüzü) kullanıcıların hesaplarında MFA kurmasını istiyor. “Bu iletişim kutusu kapatılabilir, ancak kullanıcı için MFA yapılandırılmamışsa üç gün içinde tekrar görünecektir.”
- Yöneticilerin Snowflake Güven Merkezi aracılığıyla MFA politikalarına uyumu izleme olanağı
Snowsight MFA istemi (Kaynak: Snowflake)
“Yakında, Snowflake yeni oluşturulan Snowflake hesaplarındaki tüm insan kullanıcılar için MFA gerektirecek. Tüm müşterilerin ortamlarını hazırlamak için MFA kimlik doğrulama politikalarını ve Güven Merkezi’ni kullanmaya başlamalarını ve önümüzdeki aylarda ek özellikler için beklemelerini öneriyoruz,” diye eklediler.