ShinyHunter bilgisayar korsanlarının doğrudan EPAM çalışanını hacklememiş olması ve bilgi hırsızları tarafından çalınan eski kimlik bilgileri depolarından elde ettikleri kullanıcı adlarını ve şifreleri kullanarak Snowflake hesaplarına erişim sağlamaları mümkündür. Ancak Reddington’ın işaret ettiği gibi bu, EPAM hesaplarından çalınan bu ve diğer kimlik bilgileri için herkesin bu depoları inceleyebileceği anlamına geliyor. Reddington, dokuz farklı bilgi hırsızı tarafından EPAM çalışanlarının makinelerinden veri toplamak için kullanılan verileri çevrimiçi bulduklarını söylüyor. Bu, diğer EPAM müşterilerine ait verilerin güvenliğiyle ilgili potansiyel endişeleri artırmaktadır.
EPAM’in bankalar ve diğer finansal hizmetler, sağlık hizmetleri, yayın ağları, ilaç, enerji ve diğer kamu hizmetleri, sigorta, yazılım ve yüksek teknoloji dahil olmak üzere çeşitli kritik sektörlerden müşterileri vardır; son müşteriler arasında Microsoft, Google, Adobe ve Amazon Web bulunmaktadır. Hizmetler. Ancak bu şirketlerden herhangi birinin EPAM çalışanlarının erişebildiği Snowflake hesaplarına sahip olup olmadığı belli değil. WIRED ayrıca Ticketmaster, Santander, Lending Tree veya Advance AutoParts’ın EPAM müşterisi olup olmadığını da doğrulayamadı.
Snowflake kampanyası ayrıca genel olarak üçüncü taraf şirketlerden ve bilgi hırsızlarından kaynaklanan artan güvenlik risklerini de vurguluyor. Bu haftaki blog yazısında Mandiant, Snowflake hesaplarına erişim sağlamak için birden fazla yüklenicinin ihlal edildiğini öne sürerek, genellikle iş süreci dış kaynak kullanımı (BPO) şirketleri olarak bilinen yüklenicilerin bilgisayar korsanları için potansiyel bir altın madeni olduğunu, çünkü bir bilgisayarın makinesini tehlikeye attığını belirtti. Birden fazla müşterinin hesabına erişimi olan yüklenici, onlara birçok müşteri hesabına doğrudan erişim izni verebilir.
Mandiant, blog yazısında “Müşterilerin Snowflake kullanımına yardımcı olmak için anlaştıkları yükleniciler, bu ilk giriş vektörünü daha da kötüleştiren kişisel ve/veya izlenmeyen dizüstü bilgisayarlar kullanabilir” diye yazdı. “Genellikle birden fazla kuruluşun sistemlerine erişim sağlamak için kullanılan bu cihazlar önemli bir risk taşıyor. Tek bir yüklenicinin dizüstü bilgisayarı, bilgi hırsızlığı yapan kötü amaçlı yazılımların eline geçerse, genellikle BT ve yönetici düzeyinde ayrıcalıklarla, birden çok kuruluştaki tehdit aktörlerinin erişimini kolaylaştırabilir.”
Şirket ayrıca bilgi hırsızlarından kaynaklanan artan riskin de altını çizdi ve bilgisayar korsanlarının Snowflake kampanyasında kullandıkları kimlik bilgilerinin çoğunun daha önce çeşitli bilgi hırsızlığı kampanyaları tarafından çalınan ve bazılarının tarihi 2020 yılına kadar uzanan veri depolarından geldiğini belirtti. “Mandiant yüzlerce kişiyi tespit etti. Şirket, 2020’den bu yana bilgi hırsızları aracılığıyla müşterilerin Snowflake kimlik bilgilerinin açığa çıktığını belirtti.
Mandiant, bunun, hedeflenen Snowflake hesaplarının kendilerini daha fazla korumak için MFA kullanmaması gerçeğiyle birlikte bu kampanyadaki ihlalleri mümkün kıldığını belirtiyor.
Snowflake’in CISO’su Brad Jones, geçen hafta çok faktörlü kimlik doğrulama eksikliğinin ihlallere yol açtığını kabul etti. Bu hafta yapılan bir telefon görüşmesinde Jones, WIRED’e Snowflake’in müşterilerine, hesaplarının kullanıcılarının ileriye dönük olarak çok faktörlü kimlik doğrulamayı kullanmasını zorunlu kılma yeteneği vermek için çalıştığını söyledi ve “ve ardından gelecekte de [make the] varsayılan MFA” diyor.