Önemli bir siber güvenlik olayında, ShinyHunters olarak bilinen tehdit aktörü grubu, 30 milyon müşteriye veri sattığı iddia edilen Santander Bank’ın dahil olduğu bir veri ihlalinin sorumluluğunu üstlendi. Yetkisiz erişimin tespit edilmesinden iki hafta sonra ortaya çıkan bu ihlalin, son zamanlarda Snowflake hesaplarına yapılan saldırılarla bağlantılı olduğu ve Ticketmaster’ın da bu olaya dahil olduğu ortaya çıktı.
ShinyHunters, Santander’in İhlalini İddia Ediyor
31 Mayıs 2024’te ShinyHunters, 30 milyon müşteri ve çalışanın kişisel bilgileri de dahil olmak üzere Santander Bank’tan çalındığı iddia edilen büyük miktarda veriyi satacaklarını duyurdu. Verilerin ayrıca 28 milyon kredi kartı numarası ve 6 milyon hesap numarası içerdiği bildiriliyor. Bu iddia, İspanya’nın en büyük bankası Santander’in Şili, İspanya ve Uruguay’daki müşterileri etkileyen bir veri ihlali bildirmesinden kısa bir süre sonra geldi.
Santander, üçüncü taraf bir sağlayıcı tarafından barındırılan bir veritabanına yetkisiz erişimin, belirtilen bölgelerdeki çalışanları ve müşterileri etkilediğini doğruladı. Ancak diğer pazarlara ve işletmelere ilişkin verilerin etkilenmediğini belirttiler.
Çok sayıda şirketten veri satması ve sızdırmasıyla ünlü hacker grubu ShinyHunters, çalınan verilere erişime sahip olduğunu iddia etti. İhlal ilk olarak Dark Web Informer’ın verilerin 2 milyon dolardan satışa sunulduğunu fark etmesiyle tespit edildi. ShinyHunters, kişisel ayrıntıları içeren ancak Santander’e ait olduğu hemen doğrulanamayan veri örneklerini paylaştı.
İhlalle Bağlantılı Snowflake Hesap Hack’leri
Aynı gün, siber güvenlik firması Hudson Rock, Santander ve Ticketmaster’daki son ihlallerin Snowflake hesaplarının hacklenmesinden kaynaklandığının iddia edildiğini bildirdi. Tehdit aktörü, bir Snowflake çalışanının hesabını hackleyerek ve Okta’nın güvenli kimlik doğrulama sürecini atlayarak verilere eriştiklerini iddia etti.
Çok sayıda yüksek profilli şirket tarafından kullanılan bir bulut veri platformu olan Snowflake, son zamanlardaki ihlallerin, ürünlerindeki herhangi bir güvenlik açığından yararlanılmasından değil, zayıf güvenlikli müşteri hesaplarından kaynaklandığını belirterek bu iddialara karşı çıktı. Müşteri hesaplarını hedef alan saldırılarda bir artış olduğunu doğruladılar ve tüm kullanıcıları çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeye çağırdılar.
Hudson Rock’ın raporu, tehdit aktörünün Snowflake’in hizmetlerini kullanan potansiyel olarak yüzlerce şirketten veri sızdırabileceğini öne sürdü. Çalınan kimlik bilgilerini kullanarak bir Snowflake çalışanının ServiceNow hesabında oturum açarak ve müşteri verilerine erişmek için oturum belirteçleri oluşturarak güvenlik önlemlerini atladılar. Tehdit aktörünün iddialarına göre bu yöntem, potansiyel olarak 400 şirketi etkilemelerine olanak sağladı.
Snowflake, Nisan 2024’ün ortasından itibaren tehdit faaliyetlerinde bir artış olduğunu kabul etti ve 23 Mayıs 2024 itibarıyla bazı müşteri hesaplarının güvenliğinin ihlal edildiğini doğruladı. Müşterilere çok faktörlü kimlik doğrulamayı uygulamalarını tavsiye eden ve güvenlik ihlali göstergeleri (IoC’ler) ve soruşturma sorguları sağlayan bir güvenlik bülteni yayınladılar. hesaplarının güvenliğini sağlamaya yardımcı olmak için.
BreachForums ve Veri Satışı
ShinyHunters grubu, 560 milyon insanı etkileyen son iddia edilen Ticketmaster ihlali de dahil olmak üzere çeşitli yüksek profilli veri ihlallerine karışmasıyla tanınıyor. Çalınan Santander verileri, ShinyHunters tarafından işletilen ve yeni restore edilen BreachForums’ta görünmeden önce ilk olarak Rusça konuşulan Exploit hack forumunda listelendi.
Daha Geniş Etkiler ve Yanıt
Bu olaylar, bulut tabanlı sistemlerin savunmasızlığını ve sağlam siber güvenlik önlemlerinin önemini vurgulamaktadır. İhlaller yalnızca Santander ve Ticketmaster’ı etkilemedi, aynı zamanda Snowflake’in bulut depolama hizmetlerini kullanan şirketler için de daha geniş etkileri oldu.
Uzmanlar, diğer SaaS çözümlerine de benzer saldırıların yapılabileceği konusunda uyardı ve kurumsal verileri korumak için çok faktörlü kimlik doğrulama ve IP tabanlı kısıtlamalara duyulan ihtiyacı vurguladı. Tehdit aktörlerinin veri sızdırmak için ‘RapeFlake’ gibi özel araçlar oluşturma becerisi, siber suçluların kullandığı gelişen taktikleri vurguluyor.
Çıkarımlar ve Öneriler
Santander ve Ticketmaster’ın dahil olduğu ve Snowflake’in bulut depolama hizmetleri aracılığıyla birbirine bağlanan bu ikili ihlal, siber saldırıların artan karmaşıklığını ve ölçeğini vurguluyor. Şirketlerin, hassas verileri korumak için çok faktörlü kimlik doğrulamayı etkinleştirmek de dahil olmak üzere siber güvenlik önlemlerini geliştirmesi gerekiyor.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.