Snowflake, hesapların hedef alındığını kabul ettiğinden olayla ilgili daha fazla bilgi verdi. Snowflake’in bilgi güvenliği sorumlusu Brad Jones, bir blog yazısında, tehdit aktörlerinin ele geçirilen cihazlardan kullanıcı adlarını ve şifreleri almak için tasarlanmış “kötü amaçlı bilgi hırsızlığı yoluyla satın alınan veya elde edilen” hesapların oturum açma ayrıntılarını kullandığını söyledi. Jones, olayın “tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik hedefli bir kampanya” gibi göründüğünü ekledi.
Jones’un gönderisinde Snowflake’in, olayı araştırmak için kullandığı siber güvenlik şirketleri CrowdStrike ve Mandiant ile birlikte saldırının “mevcut veya eski Snowflake personelinin kimlik bilgilerinin tehlikeye atılmasından kaynaklandığını” gösteren bir kanıt bulamadıkları belirtildi. Ancak eski bir çalışanın demo hesaplarına, hassas veriler içermediği iddiasıyla erişildiği tespit edildi.
Belirli şirketlerin verilerinin olası ihlalleri sorulduğunda, Snowflake’ten bir kişi Jones’un şu ifadesine dikkat çekti: “Bu faaliyetin bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklandığını gösteren bir kanıt tespit etmedik.” Şirket, “ihlal” ile ne kastedildiğini açıklığa kavuşturan kayıtlı bir yorum sunmadı. (Güvenlik şirketi Hudson Rock, Snowflake’ten yasal bir mektup aldıktan sonra Snowflake olayıyla ilgili çeşitli doğrulanmamış iddiaları içeren bir araştırma gönderisini kaldırdığını söyledi).
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Snowflake olayı hakkında bir uyarı yayınlarken, Avustralya Siber Güvenlik Merkezi, “Snowflake ortamlarını kullanan birçok şirketin başarılı bir şekilde uzlaşmalarının farkında olduğunu” söyledi.
Belirsiz Kökenler
BreachForums’daki Sp1d3r hesabı reklam verileri hakkında çok az şey biliniyor ve ShinyHunters’ın sattığı verileri başka bir kaynaktan mı yoksa doğrudan kurbanların Snowflake hesaplarından mı elde ettiği açık değil; Ticketmaster ve Santander ihlaliyle ilgili bilgiler ilk olarak başka bir siber suç forumunda yayınlanmıştı. SpidermanData adlı yeni bir kullanıcı tarafından.
Sp1d3r hesabı, BreachForums’ta 2 terabaytlık LendingTree ve QuoteWizard verilerinin 2 milyon dolara satıldığını bildirdi; Advance Auto Parts’tan geldiği iddia edilen 3 TB’lık veri ise birisine 1,5 milyon dolara mal olacak. Güvenlik firması ReliaQuest’te kıdemli siber tehdit istihbaratı analisti Chris Morgan, “Tehdit aktörünün belirlediği fiyat, BreachForums’ta yayınlanan tipik bir listeleme için son derece yüksek görünüyor” diyor.
Morgan, Sp1d3r’nin meşruiyetinin net olmadığını söylüyor; ancak genç bilgisayar korsanlığı grubu Scattered Spider’a bir selam verildiğine dikkat çekiyor. “İlginç bir şekilde, tehdit aktörünün profil resmi, Scattered Spider tehdit grubuna atıfta bulunan bir makaleden alınmıştır, ancak bunun tehdit grubuyla kasıtlı bir ilişki kurmak için olup olmadığı belirsizdir.”
İddia edilen veri ihlallerinin kesin kaynağı belirsiz olsa da olay, şirketlerin üçüncü taraf sağlayıcıların ürün ve hizmetlerine güvenirken ne kadar birbirine bağlı olabileceğini gösteriyor. Güvenlik araştırmacısı Tory Hunt, olaylar ilk ortaya çıktığında WIRED’e şunları söyledi: “Bence bunların çoğu, bu hizmetlerin artık birbirine ne kadar bağımlı olduğunun ve üçüncü tarafların güvenlik duruşunu kontrol etmenin ne kadar zor olduğunun anlaşılmasıdır.”
Saldırılara yanıtın bir parçası olarak Snowflake, tüm müşterilerine, tüm hesaplarda çok faktörlü kimlik doğrulamayı zorunlu kılmalarını ve yalnızca yetkili kullanıcılardan veya konumlardan gelen trafiğe izin vermelerini söyledi. Etkilenen şirketlerin Snowflake oturum açma kimlik bilgilerini de sıfırlaması gerekiyor. Çok faktörlü kimlik doğrulamanın etkinleştirilmesi, çevrimiçi hesapların ele geçirilmesi olasılığını büyük ölçüde azaltır. Daha önce de belirtildiği gibi, TechCrunch bu hafta Snowflake hesaplarına erişen kişilerin bilgisayarlarından kötü amaçlı yazılımların bilgi çalınması yoluyla “yüzlerce Snowflake müşteri kimlik bilgilerinin” alındığını gördüğünü bildirdi.
Son yıllarda, Kovid-19 salgınından bu yana daha fazla insanın evden çalışmasıyla aynı zamana denk gelen bilgi hırsızı kötü amaçlı yazılımların kullanımında da bir artış oldu. Güvenlik şirketi Flashpoint’in istihbarattan sorumlu başkan yardımcısı Ian Gray, “Bilgi hırsızları daha popüler hale geldi çünkü yüksek talep görüyorlar ve oluşturulması oldukça kolay” diyor. Bilgisayar korsanlarının mevcut bilgi hırsızlarını kopyaladıkları veya değiştirdikleri ve virüs bulaşmış bir cihazdaki tüm giriş bilgileri, çerezler, dosyalar ve daha fazlasını içeren bunları 10 ABD Doları gibi düşük bir fiyata sattıkları görüldü.
Gray, “Bu kötü amaçlı yazılım farklı şekillerde yayılabilir ve tarayıcı verileri (tanımlama bilgileri ve kimlik bilgileri), kredi kartları ve kripto cüzdanları gibi hassas bilgileri hedef alır” diyor. “Bilgisayar korsanları, izinsiz hesaplara girmek için kurumsal kimlik bilgileri için günlükleri tarayabilir.”