LendingTree yan kuruluşu QuoteWizard ve otomotiv parça sağlayıcısı Advance Auto Parts, Snowflake tarafından barındırılan bulut veritabanlarından çalınan verileri satmaya çalışan saldırganların kurbanları olduğu ortaya çıktı.
Snowflake, soruşturmanın halen devam ettiğini ancak ön sonuçlara sadık kalmaya devam ettiğini söylüyor: Saldırganlar, “daha önce satın alınan veya kötü amaçlı bilgi hırsızlığı yoluyla elde edilen” kimlik bilgilerini kullanarak tek faktörlü kimlik doğrulamayla güvence altına alınan müşteri hesaplarına erişti.
Snowflake müşterileri veri ihlallerine maruz kalıyor
ABD merkezli Snowflake, Mastercard, Honeywell, Pfizer, Wolt, Adobe ve diğerleri dahil olmak üzere 9.800’den fazla global müşteriye sahip bir bulut veri depolama ve analiz şirketidir.
On gün önce bir tehdit aktörünün Snowflake bulut tabanlı platformu kullanan kuruluşlardan veri çaldığı ve saldırıların Nisan 2024’te başladığı ortaya çıkmıştı.
Snowflake’e göre, ele geçirilen hesap kimlik bilgileri ve çok faktörlü kimlik doğrulama eksikliği nedeniyle “sınırlı” sayıda müşteri etkilendi. (Etkilenen müşterilerin tam sayısını ve anlaşılır bir şekilde isimlerini söylemediler.)
Saldırganların çalınan verileri satma teklifleri yayınlamasıyla bazı kurbanların isimleri ortaya çıktı:
- Santander Group (Snowflake’den bahsetmeden uzlaşma şirket tarafından onaylandı)
- Live Nation Entertainment yan kuruluşu TicketMaster (şirket tarafından SEC 8-K raporu aracılığıyla doğrulandı, Snowflake, Ticketmaster sözcüsü tarafından söz konusu üçüncü taraf olarak tanımlandı)
- LendingTree, Snowflake tarafından QuoteWizard’ın “bu olaydan etkilenmiş verilere sahip olabileceği” yönünde bilgilendirildiklerini doğruladı.
- Advance Auto Parts (veri hırsızlığı şirket tarafından resmi olarak onaylanmadı ancak karanlık web listesi, büyük miktarda müşteri ve çalışan bilgisinin çalındığını iddia ediyor)
Bu arada Tech Crunch, “olası saldırganların çeşitli kaynaklardan çalınan kimlik bilgileri listelerinde arama yapabileceği bir web sitesinde” Snowflake ortamları için 500’den fazla oturum açma kimlik bilgisi ve oturum açma sayfalarının web adreslerini buldu.
Giriş sayfalarının aktif olduğunu doğruladılar ve “Snowflake ortamlarına erişim için kullanıcı adı olarak kullanılan kurumsal e-posta adreslerinden birkaçının, çalıntı şifreleri paylaşmak için kullanılan çeşitli Telegram kanallarından alınan milyonlarca çalıntı şifreyi içeren yakın tarihli bir veri dökümünde bulunduğunu” söylediler.
Görünüşe göre yakında başka birçok şirketin Snowflake veritabanlarından verilerinin çalındığını duyacağız.
Snowflake, müşterileri gelişmiş güvenlik kontrollerini kullanmaya zorlayacak
Cuma günü, Snowflake CISO’su Brad Jones, kendilerinin (ve Mandiant ile Crowdstrike’ın) ön bulgularını yineledi ve “bu faaliyetin Snowflake platformunun bir güvenlik açığından, yanlış yapılandırmadan veya ihlalden kaynaklandığını” veya “güvenlik bilgilerinin tehlikeye atılmasından kaynaklandığını gösteren bir kanıt tespit etmediklerini” söyledi. mevcut veya eski Snowflake personeli”.
Jones, “İşletmelerine yönelik siber tehditleri azaltmak için güvenlik önlemlerini sıkılaştıran müşterilerimizle yakın işbirliği içinde çalışmaya devam ediyoruz” dedi.
“Ayrıca müşterilerimizin özellikle ayrıcalıklı Snowflake müşteri hesapları için çok faktörlü kimlik doğrulama (MFA) veya ağ politikaları gibi gelişmiş güvenlik kontrollerini uygulamasını zorunlu kılacak bir plan geliştiriyoruz.”
Umuyoruz ki şirket, MFA kayıt süreçlerinde mevcut olan görünürdeki sürtüşmeleri en aza indirmek için de çalışıyor.
Paylaşılan sorumluluk modeli, MFA’nın uygulanmasını müşterilerin sorumluluğuna getirir, ancak şirketlerin Snowflake bulut ortamlarında çok büyük miktarda hassas veri barındırdığı göz önüne alındığında, ek güvenlik kontrollerinin uygulanmasının başlangıçtan itibaren bir ön koşul olmaması talihsiz bir durumdur. ve bilgi hırsızı kullanımının ne kadar yaygın olduğu göz önüne alındığında.