Tehdit aktörleri, önde gelen otomotiv yedek parça tedarikçisi Advance Auto Parts’ın, şirketin Snowflake hesabını ihlal ettikten sonra çalınan 3 TB verisini sattığını iddia ediyor.
Advance, 4.777 mağaza ve 320 Worldpac şubesi işletmektedir ve Amerika Birleşik Devletleri, Kanada, Porto Riko, ABD Virgin Adaları, Meksika ve çeşitli Karayip adalarında bağımsız olarak sahip olunan 1.152 Carquest mağazasına hizmet vermektedir.
Tehdit aktörünün (Sp1d3r tanıtıcısını kullanarak) bugün açıkladığı gibi, Advance’in Snowflake bulut depolama ortamından çalınan devasa veri arşivi şunları içeriyor:
- 380 milyon müşteri profili (isim, e-posta, cep telefonu, telefon, adres ve daha fazlası)
- 140 milyon müşteri siparişi
- 44 milyon Sadakat / Gaz kartı numarası (müşteri detaylarıyla birlikte)
- Otomobil parçaları/parça numaraları
- Satış geçmişi
- SSN’ler, ehliyet numaraları ve demografik ayrıntılarla birlikte istihdam adayı bilgileri
- İşlem ihale detayları
Ayrıca 358.000 çalışanın çalınan bilgilerini sattıklarını belirtseler de şirketin şu anda 68.000 civarında bilgisi var. Aradaki fark, eski çalışanlara ve ortaklara ait eski veriler olabilir.
BleepingComputer, çok sayıda Advance Auto Parts müşteri kaydının meşru olduğunu doğruladı.
Advance, bu ihlali henüz kamuya açıklamadı ve olayı ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirmedi. BleepingComputer, onay almak ve ihlalle ilgili sorular sormak için Advance Auto Parts sözcüsüyle birkaç kez temasa geçti ancak bir yanıt alamadı.
Advance’in Snowflake hesabından çalınan veriler
Advance’in verilerini bir bilgisayar korsanlığı forumunda 1,5 milyon dolara satan tehdit aktörü, BleepingComputer’a, verilerin en azından Nisan 2024 ortasından bu yana bulut depolama şirketi Snowflake müşterilerini hedef alan son saldırılarda çalındığını söyledi.
Snowflake’in bulut hizmetleri, aralarında Adobe, AT&T, Kraft Heinz, Mastercard, Micron, Capital One, Doordash, HP, Nielsen, Novartis, Okta, PepsiCo, Siemens, Instacart, JetBlue gibi dünya çapındaki yüksek profilli şirketlerin de bulunduğu 9.437 müşteri tarafından kullanılıyor. NBC Universal, US Foods, Western Union, Yamaha ve diğerleri.
Tehdit aktörü ayrıca BleepingComputer’a, otomotiv şirketinin verileri sızdırılan tek Snowflake müşterisi olmadığını söyledi. Tehdit aktörüne göre, bazı Snowflake müşterilerinin saldırganlar ile iletişime geçtikten sonra verilerini geri almak için zaten ödeme yaptığı iddia ediliyor, ancak BleepingComputer bunun doğru olup olmadığını bağımsız olarak doğrulayamadı.
İlk kez tehdit istihbaratı şirketi HackManac tarafından paylaşılan sızdırılan veriler, “SNOWFLAKE”e ilişkin çok sayıda referans içeriyor ve bu da tehdit aktörünün, bunun son Snowflake veri hırsızlığı saldırılarında çalındığı yönündeki iddiasını doğruluyor.
Son Santander ve Ticketmaster ihlalleri de bu saldırılarla bağlantılıydı. Cuma günü, TicketMaster’ın ana şirketi Live Nation, 20 Mayıs’ta Snowflake hesabının ele geçirilmesinin ardından bilet firmasının veri ihlali yaşadığını doğruladı.
Şirket, CrowdStrike ve Mandiant ile ortak bir danışma belgesinde, saldırganların çok faktörlü kimlik doğrulaması devre dışı bırakılmış müşterileri hedeflemek için çalıntı kimlik bilgilerini kullandığını doğruladı.
Snowflake, bu kampanyada bir çalışanın demo hesabının çalıntı kimlik bilgileri kullanılarak ele geçirildiğini ancak bu hesabın tehdit aktörlerine hassas verilere, üretim veya kurumsal sistemlere erişim sağlamadığını ekledi.
Snowflake CISO’su Brad Jones, “Bugüne kadar bu etkinliğin Snowflake ürünündeki herhangi bir güvenlik açığı, yanlış yapılandırma veya kötü amaçlı etkinlikten kaynaklandığına inanmıyoruz” dedi.
“Devam eden soruşturmamız boyunca, etkilenmiş olabileceğine inandığımız sınırlı sayıda müşteriyi derhal bilgilendirdik.”
Mandiant Consulting CTO’su Charles Carmakal, BleepingComputer’a Mandiant’ın son birkaç haftadır güvenliği ihlal edilmiş Snowflake müşterilerine yardım ettiğini söyledi. Mandiant’ın araştırmaları ayrıca saldırganların, kurbanların Snowflake kiracılarına erişmek ve verileri çalmak için bilgi çalan kötü amaçlı yazılım tarafından çalınan kimlik bilgilerini kullandıklarını da gösteriyor.