Los Angeles Birleşik Okul Bölgesi, tehdit aktörlerinin şirketin Snowflake hesabını ihlal ederek öğrenci ve çalışan verilerini çalmasının ardından veri ihlalini doğruladı.
SnowFlake, dünya çapındaki en büyük şirketlerin bazıları tarafından verilerini depolamak için kullanılan bir bulut veritabanı platformudur.
Bu ayın başlarında bir tehdit aktörü, aralarında TicketMaster, Satandar Bank, Advance Auto Parts ve Pure Storage’ın da bulunduğu çok sayıda şirketin verilerini satmaya başladı ve hacker bu verilerin SnowFlake’ten çalındığını belirtti.
SnowFlake, Mandiant ve CrowdStrike tarafından yapılan ortak araştırma, UNC5537 olarak takip edilen bir tehdit aktörünün, hesaplarında çok faktörlü kimlik doğrulama koruması yapılandırmamış en az 165 kuruluşu hedef almak için çalıntı müşteri kimlik bilgilerini kullandığını ortaya çıkardı.
Hesaplara eriştikten sonra tüm verileri indirdiler ve verileri diğer siber suçlulara satmamak veya sızdırmamak karşılığında şirketten şantaj yapmaya çalıştılar.
LAUSD bir hacker forumunda satıldı
Önceki SnowFlake saldırılarına ait verileri satan ve ‘Sp1d3r’ olarak bilinen tehdit aktörü, 18 Haziran’da Los Angeles Unified’ın verilerini de SnowFlake’ten çaldıklarını iddia ederek 150.000 dolara satmaya başladı.
Tehdit aktörü, bu verilerin öğrenci adlarını, adreslerini, aile adlarını, demografik bilgilerini, mali bilgilerini, notlarını, performans puanlarını, engellilik bilgilerini, disiplin ayrıntılarını ve ebeveyn bilgilerini içerdiğini belirtiyor.
Verilerin bir örneğini inceledikten sonra LAUSD, BleepingComputer’a verilerin SnowFlake hesabından çalındığını doğruladı.
Los Angeles Unified sözcüsü BleepingComputer’a şunları söyledi: “Daha önce de belirtildiği gibi, 6 Haziran 2024’te Los Angeles Unified, kötü niyetli bir aktörün belirli öğrenci ve çalışan verilerini satışa sunduğu iddia edilen bir hesaptan haberdar oldu.”
“Bölge, kapsamlı ve devam eden soruşturması sonucunda, söz konusu verilerin, toplu veri depolama için kullanılan bulut tabanlı bir platform olan Snowflake’teki bir veya daha fazla Los Angeles Unified harici tedarikçisi tarafından muhafaza edildiğini ve bir şekilde çalınmış gibi göründüğünü belirledi. çok sayıda Snowflake hesabını içeren, yakın zamanda kamuoyuna duyurulan hırsızlıklarla tutarlı.”
“Şu ana kadar Bölgenin devam eden soruşturması, sistemlerimizde veya ağlarımızda herhangi bir tehlike olduğuna dair herhangi bir kanıt ortaya çıkarmadı; ancak etkilenen verilerin kapsamı ve kapsamına ilişkin soruşturma devam ediyor.”
Los Angeles Unified, olayı daha ayrıntılı bir şekilde araştırmak için FBI, CISA ve tedarikçileriyle birlikte çalıştıklarını söyledi.
‘Satanic’ adlı farklı bir tehdit aktörünün neredeyse iki hafta önce, 6 Haziran’da bölgenin verilerini 1.000 dolara satmaya başlamasıyla, görünüşe göre birden fazla tehdit aktörü Los Angeles Unified’ın verilerine erişim elde etti.
Ancak bu veriler SnowFlake’ten çalınan verilerden farklı görünüyor; tehdit aktörü, bu verilerin mevcut ve eski öğrenci bilgilerini içeren 26 milyon kayıt, 24.000’den fazla öğretmen kaydı ve yaklaşık 500 personel bilgisi içerdiğini iddia ediyor.
Bu tehdit aktörü artık onu ücretsiz olarak yayınladı ve herhangi bir siber suçlunun onu indirip kendi saldırılarında kullanmasına olanak tanıdı.
Ancak SnowFlake’ten gelmediği için bu verilerin nereden kaynaklandığı belli değil.
BleepingComputer, ‘Satanic’ tarafından sızdırılan verilerin kaynağını doğrulamak için dün gece LAUSD ile temasa geçti ancak bir yanıt alamadı.
Bu noktada, LAUSD’nin hack forumlarında paylaştığı devasa miktarda veri göz önüne alındığında, tüm öğrencileri, öğretmenleri ve personeli, verilerinin açığa çıktığını düşünmelidir.
Diğer tehdit aktörlerinin kampanyalarında sızdırılmış verileri kullanması alışılmadık bir durum olmadığından, şifreler gibi ek verileri çalmaya çalışan istenmeyen e-postalara, mesajlara ve telefon çağrılarına karşı dikkatli olmak çok önemlidir.