Bir tehdit aktörünün, üçüncü taraf bir bulut depolama şirketi olan Snowflake’teki bir çalışanın hesabını hackledikten sonra verileri çaldıklarını iddia ederek Ticketmaster ve Santander Bank’ın dahil olduğu son veri ihlallerinin sorumluluğunu üstlendiği bildirildi. Ancak Snowflake, ihlalleri müşteri hesaplarındaki zayıf kimlik bilgileri hijyenine bağlayarak bu ihlal iddialarını reddetti.
Bulut depolama devi bugün yaptığı açıklamada, “Bugüne kadar bu etkinliğin Snowflake ürünündeki herhangi bir güvenlik açığından, yanlış yapılandırmadan veya kötü niyetli etkinlikten kaynaklandığına inanmıyoruz” dedi.
Snowflake’in AI Veri Bulutu platformu, aralarında Adobe, AT&T, Capital One, DoorDash, HP, JetBlue, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western gibi büyük şirketlerin de bulunduğu 9.000’den fazla müşteriye hizmet veriyor Union ve Yamaha, diğerleri arasında.
İddia Edilen Kar Tanesi İhlalinin Ayrıntıları
Siber güvenlik firması Hudson Rock’a göre tehdit aktörü, Snowflake’in hizmetlerini kullanan Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate ve Advance Auto Parts gibi diğer yüksek profilli şirketlerin verilerine eriştiğini iddia ediyor.
Açıklanan yöntem, bir Snowflake çalışanının ServiceNow hesabına giriş yapmak için çalıntı kimlik bilgilerini kullanarak Okta’nın kimlik doğrulamasının atlanmasını içeriyordu. Oradan, Snowflake müşterilerinden veri çıkarmak için oturum belirteçleri oluşturdukları iddia ediliyor.
Hudson Rock, tehdit aktörünün ihlalin 400’e kadar şirketi etkilediğini iddia ettiğini ve Snowflake’in Avrupa sunucularıyla ilgili 2.000’den fazla müşteri örneğine erişim kanıtı gösterdiğini bildirdi.
Gasp Girişimi ve Kötü Amaçlı Yazılım Bulaşması
Tehdit aktörü, çalınan verileri geri satın almak için Snowflake’ten şantaj yaparak 20 milyon dolar almaya çalıştığını iddia etti ancak Snowflake yanıt vermedi. Hudson Rock, Ekim ayında bir Snowflake çalışanına, kurumsal kimlik bilgilerini çalan Lumma tipi bir Infostealer’ın bulaştığını belirtti. Kötü amaçlı yazılımın bulaşması, tehdit aktörü tarafından paylaşılan ekran görüntüleri ile desteklendi.
Kar Tanesi Yanıt Veriyor
Snowflake, müşteri hesaplarının ihlal edildiğini doğruladı ancak ürünlerindeki herhangi bir güvenlik açığının veya yanlış yapılandırmanın istismar edildiğini yalanladı. Bulut depolama şirketi, belirli müşteri hesaplarına yetkisiz erişim gözlemlediklerini, bunun muhtemelen Snowflake’in altyapısındaki herhangi bir kusurla ilgisi olmadığını söyledi.
“Bunun, müşteri verilerini elde etmek amacıyla sektör çapında devam eden, kimlik tabanlı saldırıların sonucu olduğuna inanıyoruz. Araştırmalar, bu tür saldırıların, müşterilerimizin ilgisiz siber tehdit faaliyetleri yoluyla açığa çıkan kullanıcı kimlik bilgileriyle gerçekleştirildiğini gösteriyor.
Snowflake, “sınırlı” sayıda müşteriye bu saldırıları bildirdi ve onları çok faktörlü kimlik doğrulamayı (MFA) etkinleştirerek hesap güvenliklerini artırmaya çağırdı.
Uzlaşma Araçları ve Göstergeleri
Şirket, Tehlike Göstergelerini (IoC’ler), araştırma sorgularını ve etkilenen hesapların güvenliğini sağlamaya yönelik yönergeleri içeren bir güvenlik bülteni yayınladı.
Bir IoC, tehdit aktörlerinin Snowflake’in veritabanlarından veri sızdırmak için “RapeFlake” adlı özel bir araç kullandığını gösteriyor. Bir diğeri, “DBeaver_DBeaverUltimate” kullanıcı aracısından gelen bağlantıları gösteren günlüklerle birlikte “DBeaver Ultimate” veri yönetimi araçlarının kullanımını gösterdi.
Snowflake ayrıca şüpheli istemcilerden erişimi belirlemek ve şüpheli bir kullanıcının nasıl devre dışı bırakılacağını belirlemek için bir sorgu paylaştı. Ancak bu yeterli olmayabilir. Burada çok önemli bir adım şudur:
“Hesabınızda ALLOW_ID_TOKEN parametresini etkinleştirdiyseniz, bu ID token özelliği aracılığıyla olası her türlü yetkisiz erişimi tamamen geçersiz kılmak için kullanıcının 6 saat boyunca devre dışı durumda bırakılması gerekir. Kullanıcı bu süreden önce yeniden etkinleştirilirse, saldırgan, parola sıfırlandıktan veya MFA etkinleştirildikten sonra bile mevcut bir kimlik belirtecini kullanarak yeni bir oturum oluşturabilir.
Bir tehdit aktörü Snowflake’i ihlal ettiğini ve çok sayıda yüksek profilli şirketin verilerine eriştiğini iddia etse de Snowflake, bu ihlallerin sistemlerindeki herhangi bir güvenlik açığından ziyade güvenliği ihlal edilmiş müşteri hesaplarından kaynaklandığını savunuyor. Snowflake olayları araştırmaya devam ediyor ve müşteri hesap güvenliğini iyileştirmek için adımlar attı.