ABD’nin en büyük ve en eski telekomünikasyon ve mobil ağ operatörlerinden AT&T, bulut veri uzmanı Snowflake’un müşterilerini etkileyen ve giderek genişleyen bir dizi ihlalin ortasında, 2022’de altı aylık bir döneme ilişkin müşterilerinin neredeyse tamamının telefon kayıtlarının kontrolünü kaybetti.
Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yapılan bir başvuruda, şirket ilk olarak 19 Nisan 2024’te bir tehdit aktörünün çağrı kayıtlarına eriştiğini ve bunları kopyaladığını iddia etmesiyle olayı öğrendiğini söyledi. O sırada buna yanıt olarak siber olay yanıt sürecini etkinleştirdi.
AT&T, SEC açıklamasında şunları söyledi: “AT&T, yaptığı soruşturmaya dayanarak, tehdit aktörlerinin üçüncü taraf bir bulut platformundaki AT&T çalışma alanına yasa dışı bir şekilde eriştiğine ve 14 Nisan ile 25 Nisan 2024 arasında, yaklaşık olarak 1 Mayıs ile 31 Ekim 2022 tarihleri arasında ve ayrıca 2 Ocak 2023’te gerçekleşen müşteri arama ve mesaj etkileşimlerine ilişkin AT&T kayıtlarını içeren dosyaları sızdırdığına inanıyor.
Kuruluş, “Verilerde arama veya mesaj içeriği, sosyal güvenlik numarası, doğum tarihi veya diğer kişisel olarak tanımlanabilir bilgiler bulunmuyor” dedi.
“Mevcut analiz, verilerin bu zaman dilimleri için AT&T’nin kablosuz müşterilerinin ve AT&T’nin kablosuz ağını kullanan mobil sanal ağ operatörlerinin (MVNO’lar) neredeyse tüm müşterilerinin arama ve mesaj kayıtlarını içerdiğini göstermektedir. Bu kayıtlar, AT&T veya MVNO kablosuz numarasının bu dönemlerde etkileşimde bulunduğu telefon numaralarını, AT&T sabit hat müşterilerinin ve diğer taşıyıcıların müşterilerinin telefon numaralarını, bu etkileşimlerin sayımlarını ve bir gün veya ay için toplam arama süresini içerir.
“Kayıtların bir alt kümesi için, bir veya daha fazla hücre sitesi tanımlama numarası da dahil edilmiştir. Veriler müşteri adlarını içermese de, genellikle belirli bir telefon numarasıyla ilişkili adı bulmak için halka açık çevrimiçi araçları kullanmanın yolları vardır,” dedi.
Telekom şirketinin müşterileri, destek ana sayfasında gezinerek olay ve kendilerini olası saldırılardan korumak için atmaları gereken adımlar hakkında daha fazla bilgi edinebilir. Etkilenen müşterilerle iletişime geçiliyor.
“İhlal, AT&T çok büyük ve verileri sızdırılan herhangi bir müşteriyi kesinlikle endişelendirecektir. Müşteriler aşırı dikkatli olmalı ve olası kimlik avı saldırılarına veya diğer dolandırıcılık türlerine karşı dikkatli olmalıdır. Çalınan veri türüyle, SMS kimlik avı özellikle yaygın olabilir” dedi Rapid7 tehdit analitiği kıdemli direktörü Christiaan Beek.
Kar Tanesi bağlantısı
TechCrunch’a konuşan AT&T sözcüsü Angela Huguely, olayın siber suçlular tarafından telekomünikasyon şirketinin Snowflake ortamına erişilmesi sonucu meydana geldiğini doğruladı.
AT&T, yakın zamanda ihlal edilen Snowflake müşterilerinin sayısı 160’ı geçtiği düşünülen büyüyen bir listeye katılıyor; bu ihlaller muhtemelen Mandiant’taki araştırmacılar tarafından UNC5537 olarak takip edilen finansal amaçlı bir siber suç grubu tarafından gerçekleştirildi. Bu listede en belirgin olarak Ticketmaster ve Santander gibi firmalar yer alıyor.
Snowflake’in araştırması bu ihlalleri kurbanların güvenlik hijyeni eksikliğine bağladı – analistler, tehlikeye atılan firmaların BT sistemlerine erişmek için kullanılan üçüncü taraf yüklenici sistemlerinde gizlenen bilgi çalma kötü amaçlı yazılımına dair kanıtlar buldular. AT&T bu noktaya değinmedi veya olayında durumun böyle olup olmadığına dair herhangi bir bilgi vermedi.
Rapid7’den Beek, “Bir kuruluş ancak en zayıf üçüncü taraf ağı kadar güvenlidir ve güvenlik protokolleri yalnızca tüm üçüncü taraf sağlayıcıları eşit derecede güvenliyse etkilidir” dedi.
“Siber suçlular bunun farkındadır ve sistemlere erişmek ve son derece hassas verileri çalmak için zincirdeki en zayıf halkayı kırmaya çalışacaktır. Saklanan kişisel bilgilerin muazzam miktarı, tedarik zincirlerinin güvence altına alınmasının daha da önemli olduğu anlamına gelir.”
Beek, “Tedarik zincirlerini korumak için, kuruluşlar çok faktörlü kimlik doğrulamanın (MFA) uygulanması da dahil olmak üzere iyi bir siber hijyen standardı sağlamalıdır. Ek olarak, ağ çevre cihazları saldırganlar için birincil hedeflerdir; bu nedenle, bu teknolojilerdeki kritik güvenlik açıklarının derhal giderilmesi gerekir.” diye ekledi.
Karışıklık her yerde
Ancak, ShinyHunters adlı bir grup nedeniyle Snowflake ile ilgili ihlallerin kesin doğası konusunda bir karışıklık yaşandı. Bu grup, yakın zamanda kesintiye uğrayan BreachForums veri sızıntısı “hizmetinin” de operatörü. Bu grup, olayların arkasında kendisinin olduğunu ve Snowflake’un sistemlerini hacklediğini defalarca iddia etti.
Haziran ortasında, ShinyHunters kolektifinin bir temsilcisi Wired ile yaptığı bir röportajda, Belarus merkezli yüklenici EPAM’ın ihlali yoluyla Snowflake’un müşterilerine eriştiğini iddia etti. Tehdit aktörlerinin kamuoyuna konuştuğu her durumda olduğu gibi, bu iddialar aşırı şüpheyle ele alınmalı ve EPAM, ShinyHunters’ın iddialarını çürüterek, bir yanlış bilgilendirme kampanyasında hedef alındığını söyledi.
Yaşanan olayların gerçek mahiyeti, ileride yapılacak paralel soruşturmalar sonucunda ortaya çıkacaktır.
Varsayılan olarak MFA
Snowflake, bu haftanın başlarında MFA teklifini güçlendirerek müşterilerinin ortamlarının güvenliğini korumasına yardımcı olmak için tasarlanmış büyük bir politika değişikliğini yürürlüğe koydu.
Geliştirilmiş politikalar üç temele dayanmaktadır: İstem, kullanıcıları MFA’yı benimsemeye teşvik etme; Uygulama, yöneticilerin varsayılan olarak MFA’yı etkinleştirmesine izin verme; İzleme, hangi kullanıcıların MFA’yı ayarlamadığını kontrol etme.
Bundan sonra, bireysel Snowflake kullanıcılarına MFA’yı etkinleştirmeleri için bir istemde bulunulacak ve süreç boyunca yönlendirilecekler. İstemi kapatabilecek olsalar da, herhangi bir işlem yapılmazsa 72 saat sonra tekrar görünecektir.
Yöneticiler ise, bir hesaptaki tüm kullanıcılar için MFA gerektiren ve kapsamı yalnızca yerel kullanıcılara uygulanabilen veya tek oturum açma kullanıcılarını da kapsayabilen yeni bir seçenekten yararlanabilecekler.
Son olarak Snowflake, tüm sürümlerde varsayılan ve ücretsiz olarak MFA ve ağ politikası uyumluluğunu kontrol eden bir tarama paketi kullanıma sundu.
KnowBe4’te güvenlik farkındalığının öncü savunucusu Javvad Malik şunları söyledi: “Snowflake’un varsayılan olarak MFA’yı etkinleştirmesini duymak güzel. Hesap koruma perspektifinden bakıldığında, MFA muhtemelen yerinde olması gereken en etkili kontrollerden biridir. Kimlik bilgisi doldurma da dahil olmak üzere hesaplara yönelik tüm saldırılar göz önüne alındığında, daha fazla kuruluş varsayılan olarak MFA’yı etkinleştirmeli.”