Kimlik ve Erişim Yönetimi, Olay ve İhlallere Müdahale, Güvenlik Operasyonları
Şirket, Tek Faktörlü Kimlik Doğrulama Hesaplarının Suçlu Olduğunu Söyledi – Kusur Değil
David Perera (@daveperera) •
3 Haziran 2024
Şirket, bilgisayar korsanlarının yapay zeka veri platformu sağlayıcısı Snowflake’in çok faktörlü kimlik doğrulaması olmayan müşterilerini hedeflediğini söyledi.
Ayrıca bakınız: İsteğe Bağlı Web Semineri I Kimlik Tespiti ve Yanıtı (IDR) – Hazır mısınız?
Montana merkezli Bozeman şirketi Cuma günü müşterilerine “bazı müşterilerimizin hesaplarını hedef alan siber tehdit faaliyetlerinde artış” gözlemlediğini söyledi. Faaliyetin Snowflake’teki güvenlik açıkları veya yanlış yapılandırmayla ilgisi olmadığı belirtildi.
Avustralya Siber Güvenlik Merkezi, Cumartesi günü Snowflake müşteri ortamlarındaki siber tehdit faaliyetlerini izlediğine dair bir uyarı yayınladı.
Saldırılar kendilerini şu şekilde tanımlayan istemcilerden kaynaklanıyor: rapeflake Ve DBeaver_DBeaverUltimate.
Çok sayıda uyarı, tehdit istihbaratı firması Hudson Rock’ın, suç forumlarında öne sürülen son büyük veri ihlallerinin bir Snowflake çalışanının bilgisayarında çalışan bir bilgi hırsızından kaynaklandığını söyleyen, artık kaldırılmış bir blog yazısı yayınlamasının ardından geldi.
Cuma günü TechCrunch, kimliği belirsiz bir TicketMaster sözcüsünün, bir suç forumunda satışa sunulan çalıntı şirket verilerinin Snowflake kaynaklı olduğunu söylediğini bildirdi (bkz.: Çalınan Ticketmaster Verileri Yeniden Başlatılan BreachForum’larda İlan Edildi).
Şirket, Cuma günü federal düzenleyicilerle yaptığı bir dosyada, bilgisayar korsanlarının sızdığı “üçüncü taraf bulut veritabanı ortamının” adını vermeyen bir veri ihlali olduğunu doğruladı. Şirket yorum talebine yanıt vermedi.
Snowflake, “ön bulguları” içeren Pazar günkü güncellemesinde, “bu faaliyetin mevcut veya eski Snowflake personelinin kimlik bilgilerinin tehlikeye atılmasından kaynaklandığını gösteren kanıtların tespit edilmediğini” söyledi. Bir tehdit aktörü, ele geçirilen kişisel kimlik bilgileri aracılığıyla eski bir Snowflake çalışanına ait demo hesabına erişti ancak demo sitesi hassas veriler içermiyordu. Snowflake, CrowdStrike ve Mandiant’ın ilk sonuçlarını desteklediğini söyledi.’p>
Mandiant CTO Charles Carmakal, Pazartesi günü LinkedIn’de yayınlanan bir gönderide bilgi hırsızlarının Snowflake kampanyasında bir rolü olduğunu söyledi. “Tehdit aktörleri, bilgi hırsızlığı yapan kötü amaçlı yazılımlarla elde edilen çalıntı kimlik bilgilerini kullanarak ve tek faktörlü kimlik doğrulamayla yapılandırılmış veritabanlarına giriş yaparak kuruluşların Snowflake müşteri kiracılarının güvenliğini aktif olarak tehlikeye atıyor” dedi.
Carmakal, çalışanların şirket sistemlerine erişmek ve iş ve ev bilgisayarları arasında web tarayıcılarını senkronize etmek için kişisel bilgisayarları giderek daha fazla kullanması nedeniyle kurumsal ortamların bilgi hırsızlarına karşı daha savunmasız hale geldiğini söyledi. “İnsanlar (veya çocukları) bazen kişisel bilgisayarlarına yanlışlıkla bilgi çalan kötü amaçlı yazılımlar içeren yazılımlar yüklerler. Kötü amaçlı yazılım, web tarayıcılarından kimlik bilgilerini ele geçirebilir” dedi.
Güvenlik araştırmacısı Kevin Beaumont, Pazar günkü bir blog yazısında Snowflake’i çok faktörlü kimlik doğrulamayı uygulamadığı veya eski çalışanın hesabını devre dışı bıraktığı için eleştirdi. “SaaS çağında sağlayıcılarınızın kendilerini kurtarmak için sizi otobüsün altına atacağını unutmayın. Güvenlik riskinizi bir sağlayıcıya devrettiğinizde riskinizi kabul etmezler, yalnızca parayı alırlar” dedi. Cuma günü yaptığı bir sosyal medya gönderisinde, Snowflake’in müşterileri olan “6 büyük kuruluşun” veri ihlalleri yaşadığını söyledi.
Snowflake, yorum talebine hemen yanıt vermedi.
Hindistan’ın Pune kentindeki Jayant Chakravarti’den gelen raporla.