Çevrimiçi bilet platformu Ticketmaster ve tüketici bankası Santander’deki önemli veri ihlallerinin, bulut veri yönetimi platformu Snowflake’te tutulan güvenli olmayan hesapların kötüye kullanılmasıyla bağlantılı olduğu görülüyor, son birkaç gün içinde ortaya çıktı.
Ana kuruluş Live Nation tarafından 31 Mayıs Cuma günü doğrulanan Ticketmaster ihlali, isimler, adresler, telefon numaraları ve bazı kredi kartı bilgileri de dahil olmak üzere 550 milyondan fazla müşterinin kişisel bilgilerinin çalınmasına neden oldu.
Santander’de devam eden olayda, İspanya ve Latin Amerika’daki müşterilerin verilerinin yanı sıra, dünya çapında 200.000 ve Birleşik Krallık’ta yaklaşık 20.000 kişi olmak üzere bankanın bazı önceki ve mevcut çalışanlarının kişisel bilgilerinin çalındığı görüldü.
Her iki olay da ShinyHunters olarak bilinen bir grup tarafından üstlenildi. Bu grup aynı zamanda kısa süre önce polis tarafından kapatılan ancak hala dokunulmazlıkla faaliyet gösteren BreachForums sitesini de işletiyordu. Siber suçlular, Ticketmaster’dan yarım milyon dolar, Santander’den ise iki milyon dolar fidye talep ediyor.
Snowflake’in adı her iki kuruluş tarafından da açıkça belirtilmese de firma, CrowdStrike ve Mandiant’ın yardımıyla müşteri hesaplarına yönelik bir “hedefli tehdit kampanyasını” araştırdığını doğruladı.
Snowflake yaptığı açıklamada şunları söyledi: “Bu aktivitenin bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklandığını gösteren bir kanıt tespit etmedik. Bu faaliyetin mevcut veya eski Snowflake personelinin kimlik bilgilerinin ele geçirilmesinden kaynaklandığını gösteren bir kanıt tespit etmedik.
“Bu, tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik hedefli bir kampanya gibi görünüyor. Bu kampanyanın bir parçası olarak, tehdit aktörleri daha önce satın alınan veya kötü amaçlı bilgi hırsızlığı yoluyla elde edilen kimlik bilgilerinden yararlandı.”
Kişisel kimlik bilgileri
Ayrıca, bir tehdit aktörünün kişisel kimlik bilgilerini ele geçirdiğine ve eski bir Snowflake çalışanına ait olan ve Okta veya çok faktörlü kimlik doğrulama (MFA) hizmetleri tarafından korunmayan demo hesaplarına eriştiğine dair bazı kanıtlar bulduğunu ancak bu hesapların korunmadığını doğruladı. üretim veya kurumsal sistemlerine bağlıydı ve hiçbir hassas bilgi içermiyordu.
Snowflake, müşterilerine derhal MFA uygulamasını, yalnızca yetkili kullanıcılara veya güvenilir konumlardan gelen trafiğe izin verecek ağ politikası kuralları oluşturmasını ve kimlik bilgilerini sıfırlayıp döndürmesini öneriyor. Tehlike göstergeleri (IoC’ler) dahil olmak üzere daha fazla bilgiye buradan ulaşabilirsiniz.
İhtilaflı iddialar
Snowflake’in ifadesine göre sorunların müşterilerindeki siber güvenlik hatalarından kaynaklandığı anlaşılıyor. Bununla birlikte, olayların versiyonu, son birkaç gün içinde gün ışığına çıkan diğer bilgilerle büyük ölçüde çelişiyor; bunların çoğu, Hudson’daki araştırmacılar tarafından yayınlanan, tamamı burada arşivlenen, o zamandan beri silinmiş bir blogda yer alıyor. Kaynak.
Hudson Rock, ShinyHunters’ın içinden biri olduğunu iddia eden biriyle yapılan konuşmaya dayanarak, araştırmacılara, Snowflake’in versiyonunun aksine, saldırganların aslında bir Snowflake çalışanının ServiceNow hesabına çalıntı kimlik bilgilerini kullanarak, Okta korumalarını atlayarak ve onları etkinleştiren oturum belirteçleri oluşturarak eriştiklerinin söylendiğini söyledi. müşterilerinin verilerini doğrudan Snowflake’in sistemlerinden çalmak.
Tehdit aktörü, erişim yoluyla en az 400 müşterinin güvenliğinin ihlal edildiğini öne süren bilgileri paylaştı ve müşterilerinden ziyade Snowflake’ten kazanç beklediklerini öne sürdü; ancak bir kişinin sözüne güvenmenin asla akıllıca olmadığını hatırlamak önemli. siber suçlu veya iddialarını göründüğü gibi kabul edin.
Vektörü tanımlayın
Snowflake’in olaylara ilişkin okumalarına göre, tedarik zinciri saldırısının klasik bir örneği olmasa da, Ticketmaster ve Santander’deki olaylar, erişim vektörü olarak kimlik ihlallerinin kullanılması da dahil olmak üzere diğer tedarik zinciri saldırılarıyla pek çok ortak noktaya sahip.
“Bu yıl, hizmet olarak yazılımın büyük kısmını etkileyen bir dizi ihlal gördük. [SaaS] Microsoft, Okta ve şimdi de Snowflake gibi satıcılar,” dedi Obsidian Security’nin kurucu ortağı ve baş ürün sorumlusu Glenn Chisholm.
“Bu ihlallerin ortak noktası kimliktir; Saldırganlar içeri girmiyor, giriş yapıyor” dedi. “CrowdStrike gibi iş ortakları aracılığıyla gördüğümüz olay müdahale görevlerinde, SaaS ihlallerinin çoğunlukla kimlik ihlalleriyle başladığını görüyoruz; aslında SaaS ihlallerinin %82’si hedef odaklı kimlik avı, token hırsızlığı ve yeniden kullanımı, yardım masası sosyal mühendisliği vb. gibi kimlik ihlallerinden kaynaklanıyor. . Buna kullanıcı kimliklerinin yanı sıra insan olmayan (uygulama) kimlikler de dahildir.”
Chisholm, kullanıcılar için alınacak derslerin açık olduğunu söyledi. SaaS, ulus devlet saldırganlarından ShinyHunters gibi finansal motivasyona sahip bilgisayar korsanlarına kadar geniş bir yelpazede gerçekleşen çok sayıda saldırının gerçekleştiği, hedefi oldukça yüksek bir alandır. Bu nedenle SaaS ürünlerini kullanan her şirketin bir SaaS güvenlik programı uygulaması veya mevcut programlarını gözden geçirmesi gerekiyor.
Chisholm, “Riski en aza indirmek, SaaS uygulamalarınızın çevresini oluşturan kimliklerini korumak ve veri hareketlerini güvence altına almak için doğru uygulama duruşunu sağlayın” dedi. “Uygulamalarınızın gelişmesi, konfigürasyonların değişmesi, kimliklerin ortaya çıkması ve saldırganların kalıplarını değiştirmesi nedeniyle bunların sürekli bir program olması gerekiyor. Başka bir deyişle, bunu tüm SaaS uygulamalarınıza ölçeklendirmek için otomasyona ihtiyacınız var.”
Darktrace’in tehdit analizi başkanı Toby Lewis, hiçbir Snowflake sisteminin doğrudan tehlikeye atılmaması durumunda bile tedarikçinin müşterilerine yönelik saldırıları önlemek için daha fazlasını yapabileceğini söyledi.
Lewis, “Bulut sağlayıcıları, paylaşılan sorumluluk modeli kapsamında açık gereklilikler olmasa bile, zorunlu MFA gibi daha iyi güvenlik uygulamalarını teşvik etmelidir” dedi.
“Aslında, farklı bulut sağlayıcılarını değerlendirirken fark yaratan bir unsur haline geliyor; genel güvenliği artırmak için varsayılan olarak güvenli uygulamalara sahip olanı seçin.”