Şirketlerin her gün üçüncü taraf bulut veri depolama sağlayıcılarının etkilerini duyurmasıyla birlikte, Snowflake veri ihlali çığ gibi büyüyerek dijital çağın en büyük veri ihlallerinden birine dönüşüyor gibi görünüyor.
İşte Snowflake ihlali hakkında bilmeniz gereken her şey; yeni bilgiler geldikçe bu sayfayı güncelleyeceğiz.
Kar Tanesi İhlalinin Neden Önemlidir?
Snowflake, 9.800’den fazla global müşteriye sahip, ABD merkezli önde gelen bir bulut veri depolama ve analiz şirketidir. Müşteri tabanı arasında Adobe, AT&T, Capital One, DoorDash, HP, JetBlue, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union ve Yamaha gibi büyük şirketler yer alıyor.
Snowflake, veri ambarı pazarında yaklaşık %20’lik bir paya sahip ve yakın zamanda Fortune Future 50 Listesi’nde 1. sırada yer aldı ve siber suçlular için cazip bir hedef oldu. Ancak ihlallerin mutlaka Snowflake’in başarısızlıklarından kaynaklanmadığını unutmamak önemlidir. Korelasyon, Snowflake’in Bilgi Güvenliği Baş Sorumlusu Brad Jones’un da vurguladığı gibi nedensellik anlamına gelmiyor. Şirket, adli tıp ortaklarıyla birlikte Snowflake’in platformunda herhangi bir güvenlik açığı veya ihlal kanıtı bulamadı.
Kar Tanesi İhlalinde Devam Eden Araştırmalar ve Ön Sonuçlar
31 Mayıs’ta Snowflake, saldırganların tek faktörlü kimlik doğrulamayı kullanarak müşteri hesaplarına eriştiğini ortaya çıkardı. Ön sonuçlara göre, bu saldırganlar kötü amaçlı yazılımların bilgi hırsızlığı yoluyla elde edilen kimlik bilgilerinden yararlandı.
Ele Geçirilmiş Çalışan Hesabı
Snowflake, bir tehdit aktörünün tek bir eski çalışanın kimlik bilgilerini ele geçirerek üretim ve kurumsal sistemlerden izole edilmiş demo hesaplara eriştiğini doğruladı. Snowflake’in çekirdek sistemleri Okta ve Multi-Factor Authentication (MFA) tarafından korunuyor ancak demo hesaplarında bu tür güvenlik önlemleri yoktu.
Hedeflenen Test Ortamları
Demo hesapları genellikle güvenlik riskleri olarak göz ardı edilir. Bu hesapların hassas veriler içermediğine dair güvencelere rağmen, algılanan değerleri nedeniyle cazip hedefler olmayı sürdürüyorlar. Siber suçlular, Snowflake gibi yüksek profilli bir şirkete yönelik iddia edilen bir ihlalin medyanın ciddi ilgisini çekebileceğini bilerek algı boşluğundan yararlanıyor.
Saldırı Yolu
Saldırganların ilk erişim noktası, neredeyse kesinlikle kötü amaçlı yazılımların bilgi hırsızlığı yoluyla elde edilen, ele geçirilmiş kimlik bilgileriydi. Snowflake’e soruşturmasında yardımcı olan Mandiant, ele geçirilen kimlik bilgilerinin müşteri örneklerinden geldiğini ve bilgi hırsızı kötü amaçlı yazılım günlüklerine kadar takip edildiğini doğruladı. VIDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA ve METASTEALER dahil olmak üzere çeşitli bilgi hırsızlığı yapan kötü amaçlı yazılım türleri kullanıldı.
İhlalin Olası Nedenleri
Mandiant, Snowflake’in kurumsal ortamında herhangi bir ihlal olmadığını doğruladı. Saldırganların kullandığı kimlik bilgilerinin çoğunun geçmişteki bilgi hırsızlığı enfeksiyonlarından kaynaklandığını belirlediler. MFA eksikliği ve kimlik bilgilerinin dört yıla kadar rotasyona tabi tutulmaması önemli faktörlerdi. Ağ izin listeleri de güvenilir konumlara erişimi kısıtlamak için kullanılmadı.
Doğrulanmamış Tehdit Aktörü İddiaları
Tehdit aktörü ayrıca aynı kimlik bilgilerini kullanarak Snowflake’in ServiceNow hizmetine giriş yaptığını da iddia etti. Bu iddia Snowflake tarafından ne doğrulandı ne de açıkça yalanlandı. Diğer bilinmeyenler arasında benzer yöntemlerin diğer Snowflake çalışanlarını tehlikeye atıp atmadığı ve demo hesapları üzerindeki etkiyi belirlemek için kullanılan “hassas” verilerin tanımı yer alıyor.
Soruşturma devam ediyor ancak Snowflake ilk bulgularının arkasında duruyor.
Snowflake İhlalinden Etkilenen Müşteriler
Veri ihlalleri Nisan 2024’te başladı ve şirket, bunun “sınırlı” sayıda Snowflake müşterisini etkilediğini iddia etti. Snowflake başlangıçta etkilenen tüm müşterilerin tam sayısını veya adlarını açıklamadı. Ancak ilk açıklamadan iki hafta sonra Mandiant’ın kapsamlı bir raporu şunu ortaya çıkardı: Snowflake veri ihlalinden 165 müşteri etkilendi.
Bazı kurbanlar, saldırganların çalıntı verileri satma teklifleri yoluyla tespit edilirken, diğerleri zorunlu kamuya açıklama yoluyla ortaya çıkarıldı. Çoğu şirket henüz etkiyi doğrulamadı. Snowflake veri ihlalinden etkilendiği bilinen tüm şirketlerin listesi aşağıdadır:
- Santander Grubu: Şirket, Snowflake’ten bahsetmeden bir uzlaşmayı doğruladı.
- Darbe: Santander Bankası Personelin ve 30 milyon müşterinin verilerinin ihlal edildiği iddia edildi.
- TicketMaster (Live Nation Entertainment yan kuruluşu): Snowflake’in olaya karışan üçüncü taraf olduğu SEC 8-K raporuyla doğrulandı.
- Darbe: 560 Milyon Bilet Ustası Kullanıcı ayrıntıları ve kart bilgileri potansiyel olarak risk altındadır.
- Borç Verme Ağacı: Snowflake tarafından QuoteWizard’ı içeren olası bir veri etkisi hakkında bilgilendirildi.
- Darbe: 1 Haziran’da “Sp1d3r” adlı bir bilgisayar korsanı, siber suç platformu BreachForums’ta 190 milyondan fazla kişinin hassas bilgilerini çaldığını bildirdi. Alıntı Sihirbazı. İddia edilen veritabanında müşteri ayrıntıları, kısmi kredi kartı numaraları, sigorta teklifleri ve diğer bilgiler yer alıyordu.
- Gelişmiş Otomobil Parçaları: Şirket tarafından doğrulanmadı ancak bir karanlık ağ listesi, önemli miktarda veri hırsızlığı yapıldığını iddia etti.
- Darbe: LendingTree ile aynı aktör, 380 milyon müşterinin ve 358.000 eski ve mevcut çalışanın sızdırıldığını iddia etti.
- Saf Depolama: Pure Storage veri ihlali; şirket adları, LDAP kullanıcı adları, e-posta adresleri ve Purity yazılımının sürüm numarası gibi verileri barındıran çalışma alanına üçüncü bir tarafın geçici olarak erişmesini içeriyordu.
- Darbe: “Sp1d3r” olarak bilinen aynı tehdit aktörü talep edildi Şirketin 1,5 milyon dolara satıldığı bildirilen Snowflake bulut depolama alanından 3 terabaytlık verinin çalındığı iddia edildi.
Tech Crunch, saldırganların çalıntı kimlik bilgilerini aramak için kullandığı bir web sitesinde Snowflake ortamları için 500’den fazla oturum açma kimlik bilgisi ve web adresi keşfetti. Bunlar arasında çeşitli Telegram kanallarından yakın zamanda elde edilen bir veri dökümünde bulunan kurumsal e-posta adresleri de vardı.
Güvenlik Önlemleri ve Müşteri Desteği
Snowflake Baş Bilgi Güvenliği Sorumlusu Brad Jones, şirketin bulgularını yineleyerek ihlallerin herhangi bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun veya personel kimlik bilgilerinin ihlalinden kaynaklanmadığını ileri sürdü. Snowflake, güvenlik önlemlerini geliştirmek için müşterilerle işbirliği yapıyor ve özellikle ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulama (MFA) ve ağ politikaları gibi gelişmiş güvenlik kontrollerini zorunlu kılmayı planlıyor.
Şirket, MFA kayıt sürecindeki sürtüşmeleri kabul ediyor ve bunu kolaylaştırmak için çalışıyor. Paylaşılan sorumluluk modeli, MFA yaptırımını müşterilere yüklemektedir ancak Snowflake, bulut ortamlarında depolanan verilerin yüksek hassasiyeti nedeniyle bunu standart bir ön koşul haline getirmeyi amaçlamaktadır.
Snowflake Müşterilerine Temel Öneriler:
- Çok Faktörlü Kimlik Doğrulamayı Zorunlu Hale Getirin: Başta ayrıcalıklı erişime sahip olanlar olmak üzere tüm hesaplar için MFA’yı zorunlu hale getirin.
- Kimlik Bilgilerini Düzenli Olarak Döndürün: Önceki sızıntıların uzun süreli açığa çıkmasını önlemek için tüm kimlik bilgilerinin düzenli olarak güncellendiğinden emin olun.
- Ağ İzin Listelerini Uygulayın: Yetkisiz erişimi en aza indirmek için güvenilir IP adreslerine erişimi kısıtlayın.
- Günlük Kaydı ve İzlemeyi Geliştirin: Şüpheli etkinlikleri anında tespit etmek ve bunlara yanıt vermek için günlük kaydı ve izleme yeteneklerini geliştirin.
Snowflake ayrıca yetkisiz kullanıcı erişimini tespit etmek ve önlemek için risk göstergelerini ve adımları da yayınladı. Burada.
Bulut güvenlik firması Permiso, Snowflake, Mandiant, DataDog ve kendi zekası tarafından paylaşılan IoC’leri temel alarak Snowflake ortamlarındaki şüpheli etkinlikleri tespit etmek ve avlamak için “YetiHunter” adlı açık kaynaklı bir araç geliştirdi.
Editörün Notu: Bu blog, Snowflake ve müşterilerinden gelen ek ihlal bilgileri elde edildikçe veya yer altı forumlarında tehdit aktörleri tarafından satılık olarak talep edildikçe güncellenecektir. Snowflake ihlaliyle ilgili ek IoC’lere bağlantılar ve veriler de burada yayınlanacaktır.