Snowflake, Santander ve Ticketmaster’a ait verileri çalan bir tehdit aktörünün iddialarına karşı çıkıyor ve müşteri verilerinin çalınmasının, çalınan müşteri oturum açma bilgilerinin sonucu olduğunu savunuyor.
Bulut şirketi Snowflake, müşterilerini hedef alan kimlik tabanlı saldırılara ilişkin Cuma günkü uyarının güncellenmesinde, “Snowflake üretim ortamındaki olası bir tehlikeye ilişkin son raporların farkındayız” dedi.
“Bu etkinliğin herhangi bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake ürününün ihlalinden kaynaklandığını gösteren hiçbir kanıtımız yok.”
İşleri temizlemek
Cuma günü şirket, bazı müşterilerin hesaplarına daha önce ele geçirilen kimlik bilgilerini kullanan saldırganlar tarafından erişildiğini doğruladı. Etkilenen müşterileri bilgilendirdiler, tehlike göstergelerini paylaştılar ve hesaplarının güvenliğini sağlamalarına yardımcı olacak öneriler sundular.
Mitiga araştırmacılarının Snowflake müşterilerinin tehdit avcılığını nasıl gerçekleştirebileceğine ilişkin gönderisi, saldırılar hakkında daha fazla ayrıntı sağladı: Saldırganlar, 2 faktörlü kimlik doğrulamanın açık olmadığı hesapları ihlal etti, bulutta depolanan verileri ele geçirdi ve bunları etkilenen kuruluşlara şantaj yapmak için kullandı.
Hudson Rock araştırmacıları ayrıca tehdit aktörünün, bir Snowflake çalışanının oturum açma bilgilerini çalarak Snowflake’in altyapısını ihlal ettiği yönündeki iddialarını tekrarlayan bir rapor yayınladı. Blog yazısı o zamandan beri silindi, ancak arşivlenmiş bir versiyonunu burada bulabilirsiniz. (Hudson Rock’a bunu neden kaldırdıklarını sorduk ve bir yanıt alırsak/aldığımızda bu makaleyi güncelleyeceğiz.)
Snowflake CISO’su Brad Jones, tehdit aktörünün genel iddialarını reddetti ve bazı özel iddiaları da yalanladı:
“Etkilenen müşteri hesaplarına benzer şekilde, tehdit aktörünün kişisel kimlik bilgilerini ele geçirdiğine ve eski bir Snowflake çalışanının sahip olduğu bir demo hesabına eriştiğine dair kanıtlar bulduk” dedi ancak hesabın hassas veriler içermediğini ve bu hesapla bağlantılı olmadığını iddia etti. Snowflake’in üretim veya kurumsal sistemleri.
“Erişim mümkündü çünkü demo hesabı, Snowflake’in kurumsal ve üretim sistemlerinden farklı olarak Okta veya MFA’nın arkasında değildi” ve şunu ekledi: “Müşterilerin kimlik bilgilerine yönelik bir ‘ana Uygulama Programlama Arayüzü (API)’ veya yolu yoktur.” Snowflake üretim ortamına erişilebiliyor ve bu ortamdan dışarı çıkılabiliyor.”
Santander ve Ticketmaster verilerinin çalınması doğrulandı
Tehdit aktörü ayrıca Snowflake’in sunucularını ihlal ederek Santander Bank ve Ticketmaster’a ait verileri ele geçirebildiklerini de iddia etti.
Santander daha önce saldırganların üçüncü taraf bir sağlayıcı tarafından barındırılan veritabanlarından birine eriştiklerini doğruladı ancak Snowflake’in adını vermedi.
Ticketmaster’ın ana şirketi Live Nation Entertainment, Menkul Kıymetler ve Borsa Komisyonu’na “Şirket verilerini içeren üçüncü taraf bir bulut veritabanı ortamında (öncelikle Ticketmaster LLC yan kuruluşundan) izinsiz faaliyet tespit ettiklerini ve sektör lideri şirketlerle bir soruşturma başlattıklarını” bildirdi. Adli araştırmacıların ne olduğunu anlaması gerekiyor.”
Bir Ticketmaster sözcüsü daha sonra TechCrunch’a veritabanının Snowflake’te barındırıldığını söyledi.
Güvenlik araştırmacısı Kevin Beaumont, altı büyük kuruluşun “Snowflake siber olaylarını yürüttüğünü” söylüyor.