Bulut veri analizi şirketi Snowflake, kurumsal müşterilerinin bulut veri depolarının güvenliğinin ihlal edilip edilmediğini anlamaya çalıştığı bir dönemde, son zamanlarda yaşanan bir dizi veri hırsızlığı iddiasının merkezinde yer alıyor.
Boston merkezli veri devi, bankalar, sağlık hizmeti sağlayıcıları ve teknoloji şirketleri de dahil olmak üzere en büyük küresel şirketlerin bazılarının müşteri verileri gibi büyük miktardaki verilerini bulutta depolamasına ve analiz etmesine yardımcı oluyor.
Geçen hafta Avustralyalı yetkililer alarmı çaldı şirketlerin isimlerini vermeden “Snowflake ortamlarını kullanan birkaç şirketin başarılı uzlaşmalarından” haberdar olduklarını söyledi. Bilgisayar korsanları, bilinen bir siber suç forumunda, Snowflake’in en büyük müşterilerinden ikisi olan Santander Bank ve Ticketmaster’dan yüz milyonlarca müşteri kaydını çaldıklarını iddia etmişti. Santander bir veritabanının ihlal edildiğini doğruladı “üçüncü taraf bir sağlayıcı tarafından barındırılıyor” ancak söz konusu sağlayıcının adını vermiyor. Cuma günü Live Nation, Ticketmaster yan kuruluşunun saldırıya uğradığını ve çalınan veri tabanının Snowflake’te barındırıldığını doğruladı.
Kar tanesi kabul edildi kısa bir açıklamada hangilerinin olduğunu belirtmeden, “sınırlı sayıda” müşteri hesabına “potansiyel olarak yetkisiz erişim” olduğunun farkında olduğunu, ancak sistemlerinde doğrudan bir ihlal olduğuna dair hiçbir kanıt bulamadığını söyledi. Bunun yerine Snowflake, bunu “tek faktörlü kimlik doğrulamayla kullanıcılara yönelik hedefli bir kampanya” olarak nitelendirdi ve bilgisayar korsanlarının, kullanıcının kayıtlı şifrelerini bilgisayarından kazımak için tasarlanmış “daha önce satın alınan veya bilgi çalma yoluyla elde edilen kötü amaçlı yazılımları” kullandığını söyledi.
Snowflake’in müşterileri için tuttuğu hassas verilere rağmen Snowflake, her müşterinin kendi ortamlarının güvenliğini yönetmesine olanak tanır ve otomatik olarak kaydolmaz veya müşterilerinin çok faktörlü kimlik doğrulamayı veya MFA’yı kullanmasını zorunlu kılmaz. Snowflake’in müşteri belgelerine göre. MFA kullanımının zorunlu kılınmaması, siber suçluların Snowflake’in bazı müşterilerinden büyük miktarda veri elde ettiği ve bu müşterilerin bazılarının ortamlarını ek güvenlik önlemi olmadan kurduğu iddia ediliyor.
Snowflake, kendi “demo” hesaplarından birinin kullanıcı adı ve şifre dışında korunmadığı için ele geçirildiğini kabul etti, ancak hesabın “hassas veriler içermediğini” iddia etti. Bu çalınan demo hesabının son zamanlardaki ihlallerde herhangi bir rolü olup olmadığı belli değil.
TechCrunch, bu hafta siber suçluların hackleme kampanyalarının bir parçası olarak kullanabileceği yüzlerce sözde Snowflake müşteri kimlik bilgilerinin çevrimiçi olarak mevcut olduğunu gördü; bu da Snowflake müşteri hesaplarının ele geçirilmesi riskinin ilk bilinenden çok daha geniş olabileceğini düşündürüyor.
Kimlik bilgileri, işverenlerinin Snowflake ortamına erişimi olan çalışanların bilgisayarlarına bulaşan kötü amaçlı yazılım bilgilerinin çalınması yoluyla çalındı.
TechCrunch tarafından görülen bazı kimlik bilgilerinin, aralarında Ticketmaster ve Santander’in de bulunduğu Snowflake müşterisi olduğu bilinen şirketlerin çalışanlarına ait olduğu görülüyor. Snowflake erişimine sahip çalışanlar arasında veritabanı mühendisleri ve veri analistleri yer alıyor; bunlardan bazıları Snowflake’i kullanma deneyimlerine LinkedIn sayfalarında atıfta bulunuyor.
Snowflake ise müşterilerine hesapları için derhal MFA’yı açmalarını söyledi. O zamana kadar, oturum açmak için MFA kullanımını zorunlu kılmayan Snowflake hesapları, depolanan verilerini şifre hırsızlığı ve yeniden kullanım gibi basit saldırılar nedeniyle tehlikeye atma riskiyle karşı karşıya bırakıyor.
Verileri nasıl kontrol ettik
Siber suç operasyonları konusunda bilgi sahibi bir kaynak, TechCrunch’ı, potansiyel saldırganların, birinin bilgisayarındaki kötü amaçlı yazılımların bilgi hırsızlığı gibi çeşitli kaynaklardan çalınan veya önceki veri ihlallerinden derlenen kimlik bilgileri listelerinde arama yapabileceği bir web sitesine yönlendirdi. (TechCrunch, kötü aktörlere yardımcı olmamak amacıyla çalıntı kimlik bilgilerinin bulunduğu siteye bağlantı vermiyor.)
TechCrunch, çalışanların kullanıcı adlarını ve şifrelerini içeren 500’den fazla kimlik bilgisinin yanı sıra ilgili Snowflake ortamlarının oturum açma sayfalarının web adreslerini de tespit etti.
Açığa çıkan kimlik bilgilerinin Santander, Ticketmaster, en az iki ilaç devi, bir gıda dağıtım hizmeti, kamu tarafından işletilen bir tatlı su tedarikçisi ve diğerlerine ait Snowflake ortamlarıyla ilgili olduğu görülüyor. Ayrıca eski bir Snowflake çalışanına ait olduğu iddia edilen kullanıcı adlarını ve şifreleri de açığa çıkardık.
TechCrunch eski çalışanın adını vermiyor çünkü yanlış bir şey yaptıklarına dair hiçbir kanıt yok. (Çalışan kimlik bilgilerinin çalınmasından kaynaklanan izinsiz girişleri önleyen güvenlik politikalarını uygulamak ve uygulamak sonuçta hem Snowflake’in hem de müşterilerinin sorumluluğundadır.)
Çalınan kullanıcı adlarını ve şifreleri test etmedik çünkü bunu yapmak kanunlara aykırı olacaktır. Bu nedenle, kimlik bilgilerinin şu anda aktif kullanımda olup olmadığı veya doğrudan hesap ihlallerine veya veri hırsızlıklarına yol açıp açmadığı bilinmiyor. Bunun yerine, açığa çıkan kimlik bilgilerinin gerçekliğini başka yollarla doğrulamaya çalıştık. Bu, bilgi hırsızlığı yapan kötü amaçlı yazılımların açığa çıkardığı ve bu yazının yazıldığı sırada hala aktif ve çevrimiçi olan Snowflake ortamlarının bireysel giriş sayfalarının kontrol edilmesini de içermektedir.
Gördüğümüz kimlik bilgileri arasında çalışanın e-posta adresi (veya kullanıcı adı), şifresi ve şirketlerinin Snowflake ortamına giriş yapmak için kullandığı benzersiz web adresi yer alıyor. Snowflake ortamlarının (çoğunlukla rastgele harf ve rakamlardan oluşan) web adreslerini kontrol ettiğimizde, listelenen Snowflake müşteri giriş sayfalarının, çevrimiçi olarak aranamasa bile, herkesin erişimine açık olduğunu gördük.
TechCrunch, Snowflake ortamlarının çalışanlarının oturum açma bilgilerinin ele geçirildiği şirketlere karşılık geldiğini doğruladı. Bunu yapabildik çünkü kontrol ettiğimiz her giriş sayfasında oturum açmak için iki ayrı seçenek vardı.
Oturum açmanın bir yolu, Snowflake kullanıcılarının MFA’yı kullanarak kendi şirketlerinin kurumsal kimlik bilgileriyle oturum açmalarına olanak tanıyan tek oturum açma sağlayıcısı Okta’ya dayanır. Yaptığımız kontrollerde, Snowflake giriş sayfalarının Live Nation (Ticketmaster için) ve Santander giriş sayfalarına yönlendirildiğini tespit ettik. Ayrıca, Okta giriş sayfası hala artık var olmayan dahili bir Snowflake giriş sayfasına yönlendiren bir Snowflake çalışanına ait bir dizi kimlik bilgisi de bulduk.
Snowflake’in diğer oturum açma seçeneği, kurumsal müşterinin hesapta MFA’yı zorunlu kılıp kılmadığına bağlı olarak kullanıcının yalnızca Snowflake kullanıcı adını ve parolasını kullanmasına olanak tanır. Snowflake’in kendi destek belgeleri. Bilgi hırsızlığı yapan kötü amaçlı yazılım tarafından çalışanların bilgisayarlarından çalınmış gibi görünen bu kimlik bilgileri.
Çalışanların kimlik bilgilerinin ne zaman çalındığı veya ne kadar süredir çevrimiçi oldukları tam olarak belli değil.
Şirketlerinin Snowflake ortamlarına erişimi olan birçok çalışanın bilgisayarlarının daha önce kötü amaçlı bilgi hırsızlığı yoluyla tehlikeye atıldığını gösteren bazı kanıtlar var. İhlal bildirimi kontrolü hizmetine göre, Pwned Oldum mu, Snowflake ortamlarına erişim için kullanıcı adı olarak kullanılan kurumsal e-posta adreslerinden birkaçı şu adreste bulundu: Milyonlarca çalıntı şifreyi içeren yeni bir veri dökümü çalıntı şifreleri paylaşmak için kullanılan çeşitli Telegram kanallarından alınmıştır.
Snowflake sözcüsü Danica Stanczak, Snowflake çalışanının demo hesabında müşteri verilerinin bulunup bulunmadığı da dahil olmak üzere TechCrunch’tan gelen belirli soruları yanıtlamayı reddetti. Snowflake yaptığı açıklamada, “kötü niyetli faaliyete dair güçlü göstergelerin bulunduğu belirli kullanıcı hesaplarının askıya alındığını” söyledi.
Snowflake şunu ekledi: “Snowflake’in ortak sorumluluk modeli kapsamında müşteriler, kullanıcılarıyla birlikte MFA’yı uygulamaktan sorumludur.” Sözcü, Snowflake’in “MFA’nın etkinleştirilmesi için tüm seçenekleri değerlendirdiğini ancak şu anda herhangi bir planı tamamlamadığımızı” söyledi.
Live Nation sözcüsü Kaitlyn Henrich, e-posta yoluyla kendisine ulaştığında basın saatine kadar herhangi bir yorumda bulunmadı.
Santander yorum talebine yanıt vermedi.
Eksik MFA büyük ihlallere neden oldu
Snowflake’in şu ana kadar verdiği yanıt pek çok soruyu yanıtsız bırakıyor ve MFA güvenliğinin sağladığı avantajlardan yararlanamayan bir dizi şirketin ortaya çıkmasına neden oluyor.
Açık olan şu ki Snowflake, kullanıcılarının güvenlik özelliğini açmasını gerektirmeme konusunda en azından bir miktar sorumluluk taşıyor ve şu anda bunun yükünü müşterileriyle birlikte çekiyor.
Verilerin çevrimiçi reklamını yapan siber suçlulara göre, Ticketmaster’daki veri ihlalinin 560 milyondan fazla müşteri kaydını kapsadığı iddia ediliyor. (Live Nation, ihlalden kaç müşterinin etkilendiği konusunda yorum yapmıyor.) Eğer kanıtlanırsa, Ticketmaster yılın şimdiye kadarki en büyük ABD veri ihlali olacak ve yakın tarihteki en büyük veri ihlallerinden biri olacak.
Snowflake, MFA eksikliğinden kaynaklanan bir dizi yüksek profilli güvenlik olayının ve büyük veri ihlallerinin en son şirketidir.
Geçtiğimiz yıl siber suçlular, MFA olmadan korunmayan 23andMe hesaplarından yaklaşık 6,9 milyon müşteri kaydını sıyırdı ve bu durum, genetik test şirketinin ve rakiplerinin, tekrarlanan bir saldırıyı önlemek için kullanıcıların varsayılan olarak MFA’yı etkinleştirmesini zorunlu kılmasına neden oldu.
Bu yılın başlarında UnitedHealth’in sahibi olduğu sağlık teknolojisi devi Change Healthcare, bilgisayar korsanlarının sistemlerine sızdığını ve MFA ile korunmayan bir sistemden büyük miktarda hassas sağlık verisi çaldığını itiraf etti. Sağlık devi henüz kaç kişinin bilgilerinin ele geçirildiğini söylemedi ancak bunun “Amerika’daki insanların önemli bir kısmını” etkilemesinin muhtemel olduğunu söyledi.
Snowflake hesabına izinsiz girişler hakkında daha fazla bilginiz var mı? Temasta olmak. Bu muhabirle iletişime geçmek için +1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden veya e-posta yoluyla iletişime geçin. Dosya ve belgeleri SecureDrop aracılığıyla da gönderebilirsiniz.