Yılın en büyük hacklerinden biri ortaya çıkmaya başlamış olabilir. Cuma günü geç saatlerde, Ticketmaster’ın sahibi olan zor durumdaki etkinlik şirketi Live Nation, suçlu bilgisayar korsanlarının yarım milyar müşteri kaydını çevrimiçi olarak sattığını iddia etmesinden sonra veri ihlaline maruz kaldığını doğruladı. Bankacılık firması Santander, verilerinin aynı bilgisayar korsanları grubu tarafından reklamının yapılmasının ardından milyonlarca müşteriyi ve personeli etkileyen bir veri ihlaline maruz kaldığını da doğruladı.
Hangi bilgilerin çalındığı ve bunlara nasıl erişildiği dahil olmak üzere ihlallerin spesifik koşulları belirsizliğini korurken, olayların bulut barındırma sağlayıcısı Snowflake’teki şirket hesaplarına yönelik saldırılarla bağlantılı olabileceği belirtiliyor. ABD merkezli bulut firmasının, sistemlerinde büyük miktarda veri depolayıp analiz edebilen Adobe, Canva ve Mastercard’ın da aralarında bulunduğu binlerce müşterisi var.
Güvenlik uzmanları, bilgisayar korsanlarının Snowflake’in sistemlerine erişme ve bu sistemlerden veri alma girişimleri hakkında daha fazla ayrıntı netleştikçe, diğer şirketlerin verilerinin çalındığını ortaya çıkarmalarının mümkün olduğunu söylüyor. Ancak şu anda gelişen durum dağınık ve karmaşıktır.
Snowflake’in bilgi güvenliği şefi Brad Jones, Cuma günkü siber güvenlik olayını kabul eden bir blog yazısında şöyle yazdı: “Snowflake yakın zamanda bazı müşterilerimizin hesaplarını hedef alan siber tehdit faaliyetlerinde bir artış gözlemledi ve araştırıyor.” Jones, Snowflake’in, şirketin sistemlerine giriş bilgilerini ele geçiren bilgisayar korsanları tarafından hedef alınan “sınırlı sayıda” müşteri hesabı bulduğunu yazdı. Snowflake ayrıca eski bir çalışanın “demo” hesabına da erişildiğini buldu.
Ancak gönderide Snowflake’in sızdırılan müşteri kimlik bilgilerinin kaynağı olduğuna “inanmadığı” belirtiliyor. Jones, blog yazısında şöyle yazıyor: “Bu etkinliğin herhangi bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake ürününün ihlalinden kaynaklandığını gösteren hiçbir kanıtımız yok.”
Erişilen Snowflake hesaplarının sayısı ve hangi verilerin alınmış olabileceği açıklanmazken, hükümet yetkilileri saldırının etkisi konusunda uyarıda bulunuyor. Avustralya Siber Güvenlik Merkezi Cumartesi günü “Snowflake ortamlarını kullanan birçok şirketin başarılı bir şekilde ele geçirildiğinin farkında olduğunu” ve Snowflake kullanan şirketlerin hesap kimlik bilgilerini sıfırlaması, çok faktörlü kimlik doğrulamayı açması ve kullanıcı etkinliğini incelemesi gerektiğini belirterek “yüksek” bir uyarı yayınladı.
Veri ihlali bildirimi yapan Have I Been Pwned web sitesini işleten güvenlik araştırmacısı Troy Hunt, WIRED’e “Snowflake’in son derece kötü bir güvenlik açığına sahip olduğu anlaşılıyor” diyor. “Diğer birçok farklı tarafın sağlayıcısı olduğundan, farklı yerlerde farklı veri ihlallerine yol açtı.”
Veri ihlallerinin ayrıntıları 27 Mayıs’ta ortaya çıkmaya başladı. Siber suç forumu Exploit’e yeni kaydolan bir hesap, 560 milyondan fazla kişinin bilgilerini içeren 1,3 TB Ticketmaster verisini sattığını iddia ettiği bir reklam yayınladı. Bilgisayar korsanı, isimlere, adreslere, e-posta adreslerine, telefon numaralarına, bazı kredi kartı bilgilerine, bilet satışlarına, sipariş ayrıntılarına ve daha fazlasına sahip olduğunu iddia etti. Veritabanı için 500.000 dolar istediler.
Bir gün sonra, ilk olarak 2020’de veri çalma saldırısıyla ortaya çıkan ve 2021’de 70 milyon AT&T kaydı satan köklü bilgisayar korsanlığı grubu ShinyHunters, rakip pazar yeri BreachForums’ta tamamen aynı Ticketmaster reklamını yayınladı. O zamanlar Ticketmaster ve ana şirketi Live Nation herhangi bir veri hırsızlığını doğrulamamıştı ve her iki satış sonrası verinin meşru olup olmadığı da belirsizdi.