Pure Storage, hızla yayılan Snowflake kimlik bilgileri ihlalinin bilinen en son kurbanı olarak öne çıktı ve Snowflake örnekleri ihlal edildikten sonra verilerinin bir siber suç çetesi tarafından çalındığı 150’den fazla kuruluşun yer aldığı listeye katıldı.
Veri depolama uzmanı, tek bir Snowflake veri analitiği çalışma alanına yetkisiz erişimi içeren bir güvenlik olayını doğruladığını ve ele aldığını söyledi. Bu çalışma alanı, Pure’un müşteri destek ekipleri tarafından kullanılan telemetri bilgilerini içeriyordu ve şirket adlarını, LDAP kullanıcı adlarını, e-posta adreslerini ve Purity yazılımı sürüm sürüm numaralarını içerdiği biliniyor.
Pure, müşterilere, dizi erişimi parolaları veya müşterilerin sistemlerinde depolanan veriler gibi daha hassas bilgilerin herhangi bir telemetri bilgisinin parçasını oluşturmadığı ve depolama dizisinin kendisi dışında iletilemeyeceği konusunda güvence vermeye çalıştı. Telemetri bilgilerinin müşteri sistemlerine erişim sağlamak için de kullanılamayacağı iddia edildi.
“Pure Storage, çalışma alanına daha fazla yetkisiz erişimi engellemek için derhal harekete geçti. Buna ek olarak, Pure altyapısının diğer unsurları üzerinde olağandışı bir faaliyet olduğuna dair hiçbir kanıt görmüyoruz” dedi.
“Pure, müşterilerimizin sistemlerini izliyor ve olağandışı herhangi bir aktiviteye rastlamadı. Şu anda benzer şekilde Pure sistemlerini hedef alan olağandışı bir etkinlik tespit etmeyen müşterilerle iletişim halindeyiz.
“Anlaştığımız lider bir siber güvenlik firmasından elde edilen ön bulgular, çalışma alanındaki bilgilere ilişkin ulaştığımız sonucu da doğruluyor. Pure Storage, müşterilerimize zamanında ve şeffaf güncellemeler sağlama konusunda tamamen kararlıdır ve bu durumu izlemeye ve önemli güncellemeler için bu forumu kullanmaya devam edeceğiz.”
Pure’un açıklaması, Mandiant’ın, UNC5537 olarak takip edilen ve muhtemelen çoğunlukla Kuzey Amerika merkezli bilgisayar korsanlarından oluşan bir tehdit aktörüne atfedilen Snowflake olayının kapsamı hakkında yeni bilgiler yayınlamasından yalnızca birkaç saat sonra geldi.
UNC5537’nin, çoğunlukla bilgi hırsızlığı yapan kötü amaçlı yazılımların kullanımından elde edilen çalıntı kimlik bilgilerini kullanarak Snowflake’in müşterilerine büyük bir izinsiz giriş kampanyası yürüttüğünden şüpheleniliyor.
Mandiant, farkında olduğu tüm saldırılarda UNC5537’nin verileri ele geçirebildiğini çünkü Snowflake müşterilerinin çok faktörlü kimlik doğrulama (MFA) kullanımı gibi temel kimlik bilgileri hijyenini ihmal ettiğini söyledi. Çoğu durumda, kurbanların kimlik bilgilerini zamanında değiştirme veya güncelleme konusunda başarısız olduğu, diğerlerinin ise kendi bilgisayarlarını kullanarak sistemlerine bağlanmalarına izin verilen dış yükleniciler tarafından ele geçirildiği belirtildi.
Pure Storage bu yazının yazıldığı sırada bu noktaya değinmedi.
MFA’nın olmaması artık bir seçenek değil
Sophos’un direktörü ve küresel Saha CTO’su Chester Wisniewski, sonuçları bu kadar iyi belirlenmişken temel kimlik bilgileri güvenliği önlemlerinin hâlâ bu kadar geniş çapta ihmal edilmesinden duyduğu hayal kırıklığını dile getirdi.
“Tıpkı emniyet kemeri olmayan bir araba satın alamadığınız gibi, MFA’nın devreye alınması da artık isteğe bağlı olamaz. Ele geçirilen kimlik bilgileri, saldırganların sistemleri ihlal etmesinin en yaygın yollarından biri olmaya devam ediyor ve bu, sahadaki bulgularla tekrar tekrar destekleniyor. Sophos’un en son Aktif Düşman raporu, kimlik bilgilerinin ele geçirilmesinin 2023’teki saldırıların bir numaralı temel nedeni olduğunu ve 2020’den bu yana yapılan tüm saldırıların üçte birinin temel nedeni olduğunu ortaya çıkardı” dedi Wisniewski.
“MFA’nın hassas ve önemli veriler içeren tüm hesaplara dağıtılmasını sağlamak, şirketler ve hizmet sağlayıcıları arasında işbirlikçi bir çaba gerektirir. Şirketlerin çalışanları için güçlü siber güvenlik hijyen programları uygulaması gerekirken, hizmet sağlayıcıların da kuruluşları ürünlerini kullanırken MFA’yı uygulamaya zorlayan politikaları uygulamaları gerekiyor.
Şunları ekledi: “CISA’nın son Tasarımla Güvenlilik taahhüdünü imzalayan yazılım satıcıları için altı temel odak alanından biri, müşterileri arasında MFA’nın benimsenmesini geliştirmekti. Bu, Sophos’un güçlü bir şekilde inandığı bir hedef ve bu taahhüdü imzalamamızın sebeplerinden biri de buydu. Diğer yazılım satıcılarını da aynısını yapmaya teşvik ediyoruz.”