Büyük veri hırsızlığından etkilenen ek işletmelerin raporları ortaya çıktıkça, Snowflake müşteri veritabanlarının ele geçirilmesinden kaynaklanan etkiler de artıyor.
En az dört büyük şirketin, Snowflake veritabanı ortamlarında depolanan kurumsal bilgilerin çalınmasını içeren siber saldırılara maruz kaldığı bildiriliyor.
Tehdit analistleri bu saldırıları kimlik temelli izinsiz girişlerin sayısı Snowflake ilk olarak Cuma günü açıklandı. Ancak kurbanlar ile Snowflake’in veri ambarı ortamları arasındaki doğrudan bağlantılar henüz doğrulanmadı.
Bulut tabanlı veri ambarı ve analiz sağlayıcısı için yoğun bir hafta boyunca Snowflake ve müşterileri üzerindeki baskı artıyor. Snowflake’in Veri Bulutu Zirvesi Pazartesi günü San Francisco’da başladı ve şirket, etkinlik sırasında müşterilerini hedef alan kimlik tabanlı saldırılar hakkında herhangi bir açıklama yapmadı veya kamuya açık bir yorumda bulunmadı.
Snowflake müşteri ortamlarını hedef alan saldırılardan büyük olasılıkla daha fazla işletmenin etkilenmesi nedeniyle endişeler artıyor.
Mandiant Consulting CTO’su Charles Carmakal geçen hafta Cybersecurity Dive’a şunları söyledi: “Bir tehdit aktörü, bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından çalınan kimlik bilgilerini kullanarak muhtemelen birden fazla kuruluşun Snowflake kiracılarına erişim elde etti.”
Snowflake kaç müşterinin etkilendiğini söylemeyi reddetti ancak daha önce bunu “sınırlı sayıda Snowflake müşterisi” olarak tanımladı.
Snowflake’in Küresel Kurumsal İletişim Lideri Danica Stanczak Çarşamba günü Cybersecurity Dive’a yaptığı açıklamada, “Müşterilerimizle, çok faktörlü kimlik doğrulama ve ağ erişim politikalarını etkinleştirmek de dahil olmak üzere kendilerini en iyi şekilde nasıl koruyacakları konusunda iletişim kuruyoruz” dedi.
“Snowflake aynı zamanda kötü niyetli faaliyete dair güçlü göstergelerin bulunduğu bazı kullanıcı hesaplarını da askıya alıyor. Ayrıca siber tehditle ilişkili olarak belirlediğimiz ve güven düzeyi yüksek IP adreslerini de aşamalı olarak engelliyoruz” dedi Stanczak.
MFA, Snowflake müşteri saldırılarının merkezinde yer almaya devam ediyor
Şimdiye kadar Snowflake, saldırıların bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklanmadığını öne sürerek suçu çoğunlukla MFA kullanmayan müşterilerine yükledi.
“Snowflake bir bulut ürünü ve herkes istediği zaman hesap açabilir. Snowflake, Cuma günkü ilk açıklamasında, “Bir tehdit aktörü müşteri kimlik bilgilerini ele geçirirse hesaba erişebilir” dedi.
Şirket, bu ifadeleri açıklamasından kaldırdı. Pazar günü gönderiyi güncelledim. Şirket, CrowdStrike ve Mandiant’ın yardımıyla devam eden bir soruşturmayı sürdürürken, etkilendiğini düşündüğü müşterileri bilgilendiriyor.
Snowflake ve olay müdahale firmaları Pazar günü yaptıkları ortak açıklamada, “Bu, tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik hedefli bir kampanya gibi görünüyor” dedi.
Snowflake, MFA’yı varsayılan olarak zorunlu kılmıyor veya müşterilerinin MFA kullanmasını zorunlu kılmıyor. kullanıcı belgeleri.
Stanczak, “Snowflake, Duo Güvenlik hizmeti aracılığıyla MFA’yı destekliyor ve başta hesap yöneticisi ayrıcalıklarına sahip olanlar olmak üzere tüm kullanıcıların MFA’yı etkinleştirmesini şiddetle tavsiye ediyor” dedi.
Stanczak, “Snowflake’in ortak sorumluluk modeli kapsamında müşteriler, MFA’yı kullanıcılarıyla birlikte uygulamaktan sorumludur” dedi. “MFA’nın etkinleştirilmesine yönelik tüm seçenekleri değerlendiriyoruz ancak şu anda herhangi bir planı tamamlamadık.”