Snowflake’in yakın zamanda gerçekleşen müşteri verileri hırsızlığı sonrasındaki güvenlik sorunları, daha iyi bir ifadeyle kartopu gibi büyüyor.
Ticketmaster’ın son veri ihlalini bulut veri şirketi Snowflake’e bağlayan ilk şirket olmasının ardından, kredi karşılaştırma sitesi LendingTree, QuoteWizard yan kuruluşunun Snowflake’ten veri çalındığını doğruladı.
LendingTree sözcüsü Megan Greuling, TechCrunch’a şunları söyledi: “İş operasyonlarımız için Snowflake’i kullandığımızı ve yan kuruluşumuz QuoteWizard’ın verilerinin bu olaydan etkilenmiş olabileceği konusunda bize bilgi verildiğini doğrulayabiliriz.”
“Bu konuları ciddiye alıyoruz ve bizden haber alır almaz [Snowflake] Sözcü, “Bir iç soruşturma başlattık” dedi. Sözcü, devam eden soruşturmaya atıfta bulunarak daha fazla yorum yapmaktan kaçınarak, “Bu zaman itibariyle, tüketici mali hesap bilgilerinin veya ana kuruluş LendingTree’nin bilgilerinin etkilenmiş gibi görünmediğini” ekledi.
Daha fazla etkilenen müşteri öne çıktıkça Snowflake çok az şey söyledi web sitesindeki kısa bir açıklamanın ötesinde kendi sistemlerinde bir veri ihlali olmadığını, bunun yerine müşterilerinin çok faktörlü kimlik doğrulamayı veya Snowflake’in müşterilerinin varsayılan olarak etkinleştirmesini gerektirmediği bir güvenlik önlemi olan MFA’yı kullanmadığını yineledi. Snowflake de olaydan haberdar oldu ve eski bir çalışanın “demo” hesabının yalnızca kullanıcı adı ve şifreyle korunduğu için ele geçirildiğini söyledi.
Snowflake Cuma günü yaptığı açıklamada, şu ana kadar verdiği tepkiyi güçlü bir şekilde korudu ve pozisyonunun “değişmediğini” belirtti. Snowflake’in bilgi güvenliği sorumlusu Brad Jones, Pazar günkü önceki açıklamasına atıfta bulunarak bunun “tek faktörlü kimlik doğrulaması olan kullanıcılara yönelik hedefli bir kampanya” olduğunu ve bilgi çalan kötü amaçlı yazılımlardan çalınan veya önceki veri ihlallerinden elde edilen kimlik bilgilerinin kullanıldığını söyledi.
MFA’nın eksikliği, siber suçluların Snowflake müşterilerinin ek güvenlik katmanı tarafından korunmayan ortamlarından büyük miktarlarda veri indirmesinin nedeni gibi görünüyor.
TechCrunch bu haftanın başlarında, işverenlerinin Snowflake ortamına erişimi olan çalışanların bilgisayarlarına bulaşan, parola çalan kötü amaçlı yazılımlar tarafından çalınan yüzlerce Snowflake müşteri kimlik bilgilerini çevrimiçi olarak buldu. Kimlik bilgilerinin sayısı, henüz şifrelerini değiştirmemiş veya MFA’yı etkinleştirmemiş Snowflake müşterileri için riskin devam ettiğini gösteriyor.
Biz hikayeyi aktarmaya devam ederken TechCrunch, müşterilerini etkileyen devam eden olayla ilgili olarak hafta boyunca Snowflake’e bir düzineden fazla soru gönderdi. Snowflake en az altı kez sorularımıza cevap vermeyi reddetti.
Bunlar sorduğumuz sorulardan bazıları ve nedenleri.
Henüz kaç Snowflake müşterisinin etkilendiği veya Snowflake’in bilip bilmediği henüz bilinmiyor.
Snowflake, bugüne kadar şirketin etkilenmiş olabileceğine inandığı “sınırlı sayıda Snowflake müşterisine” bildirimde bulunduğunu söyledi. Snowflake web sitesinde teknoloji şirketleri, telekomünikasyon şirketleri ve sağlık hizmeti sağlayıcıları da dahil olmak üzere 9.800’den fazla müşterisinin olduğunu söylüyor.
Snowflake sözcüsü Danica Stanczak, etkilenen müşterilerin sayısının onlarca, düzinelerce, yüzlerce veya daha fazla olup olmadığını söylemeyi reddetti.
Bu hafta bildirilen bir avuç müşteri ihlaline rağmen, bu olayın boyutunu anlama konusunda henüz ilk günlerdeyiz.
Snowflake için bile kaç müşterisinin etkilendiği henüz net olmayabilir, çünkü şirket ya günlükler gibi kendi verilerine güvenmek ya da doğrudan etkilenen bir müşteriden bilgi almak zorunda kalacak.
Snowflake’in müşterilerinin hesaplarına yapılan izinsiz girişlerden ne kadar sürede haberdar olabileceği bilinmiyor. Snowflake’in açıklamasında, 23 Mayıs’ta müşteri hesaplarına erişim ve içeriklerinin indirilmesi gibi “tehdit faaliyetlerinden” haberdar olduğu, ancak daha sonra Nisan ortasından daha spesifik olmayan bir zaman dilimine kadar uzanan izinsiz girişlere dair kanıtlar bulduğu belirtildi. güvenebileceği bazı veriler var.
Ancak bu aynı zamanda Snowflake’in büyük miktarlardaki müşteri verilerinin sunucularından sızdığını neden Mayıs ayının sonlarına kadar tespit etmediği veya tespit ettiyse Snowflake’in neden müşterilerini kamuya açık olarak daha erken uyarmadığı sorusunu da açık bırakıyor.
Snowflake’in müşterilerine yardım etmek için çağırdığı olay müdahale firması Mandiant, Mayıs ayının sonunda Bleeping Computer’a söyledi Firmanın zaten “birkaç haftadır” etkilenen kuruluşlara yardım ettiğini söyledi.
Eski Snowflake çalışanının demo hesabında ne olduğunu veya bunun müşteri veri ihlalleriyle alakalı olup olmadığını hâlâ bilmiyoruz.
Snowflake’in açıklamasından önemli bir satır şöyle: “Bir tehdit aktörünün eski bir Snowflake çalışanına ait demo hesaplara kişisel kimlik bilgileri elde ettiğine ve bu hesaplara eriştiğine dair kanıt bulduk. Hassas veriler içermiyordu.”
TechCrunch tarafından yapılan bir incelemeye göre, bilgi hırsızlığı yapan kötü amaçlı yazılımlarla bağlantılı çalınan müşteri kimlik bilgilerinin bazıları, o zamanki Snowflake çalışanına ait olanları da içeriyor.
Daha önce de belirttiğimiz gibi TechCrunch, çalışanın adını vermiyor çünkü yanlış bir şey yaptığı belli değil. Snowflake’in, siber suçluların o zamanki çalışanın “demo” hesabından yalnızca kullanıcı adı ve şifresini kullanarak veri indirmesine olanak tanıyan MFA yaptırımı eksikliği nedeniyle yakalanması, Snowflake’in güvenlik modelindeki temel bir sorunu vurgulamaktadır.
Ancak bu demo hesabının müşteri verileri hırsızlıklarında ne gibi bir rolü olduğu hala belirsizliğini koruyor çünkü içinde hangi verilerin saklandığı veya Snowflake’in diğer müşterilerinin verilerini içerip içermediği henüz bilinmiyor.
Snowflake, o zamanki Snowflake çalışanının demo hesabının son müşteri ihlallerinde (eğer varsa) ne gibi bir rolü olduğunu söylemeyi reddetti. Snowflake, demo hesabının “hassas veriler içermediğini” yineledi ancak şirketin “hassas veriler” olarak kabul ettiği şeyleri nasıl tanımladığını söylemeyi defalarca reddetti.
Snowflake’in bireylerin kişisel bilgilerinin hassas veri olduğuna inanıp inanmadığını sorduk. Snowflake yorum yapmaktan kaçındı.
Snowflake’in neden şifreleri proaktif olarak sıfırlamadığı veya müşterilerinin hesaplarında MFA kullanımını zorunlu kılmadığı ve zorunlu kılmadığı açık değil.
Şirketlerin bir veri ihlali sonrasında müşterilerinin şifrelerini zorla sıfırlaması alışılmadık bir durum değil. Ama Snowflake’e sorarsanız herhangi bir ihlal olmadı. Ve bu, merkezi altyapısında bariz bir uzlaşma olmaması anlamında doğru olsa da, Snowflake’in müşterileri çok fazla ihlale uğruyor.
Kar tanesi müşterilerine tavsiyeler Snowflake kimlik bilgilerini sıfırlayıp döndürmek ve tüm hesaplarda MFA’yı zorunlu kılmaktır. Snowflake daha önce TechCrunch’a müşterilerinin kendi güvenlikleri konusunda zor durumda olduklarını söylemişti: “Snowflake’in ortak sorumluluk modeli kapsamında müşteriler, kullanıcılarıyla MFA’yı uygulamaktan sorumludur.”
Ancak Snowflake müşteri verisi hırsızlıkları, MFA ile korunmayan hesapların çalınan kullanıcı adları ve şifrelerinin kullanımıyla bağlantılı olduğundan, Snowflake’in müşterilerinin hesaplarını korumak için şifre sıfırlama veya MFA’yı zorunlu kılma yoluyla müdahale etmemesi alışılmadık bir durumdur.
Bu eşi benzeri görülmemiş bir durum değil. Geçtiğimiz yıl siber suçlular, MFA ile korunmayan 23andMe hesaplarından 6,9 milyon kullanıcı ve genetik kaydı kazıdı. 23andMe, daha fazla kazıma saldırısını önlemek için kullanıcı şifrelerini ihtiyatlı bir şekilde sıfırladı ve ardından tüm kullanıcı hesaplarında MFA’nın kullanılmasını zorunlu kıldı.
Snowflake’e, şirketin daha fazla izinsiz girişi önlemek için müşterilerinin hesaplarının şifrelerini sıfırlamayı planlayıp planlamadığını sorduk. Snowflake yorum yapmaktan kaçındı.
Snowflake, MFA’yı varsayılan olarak kullanıma sunmaya doğru ilerliyor gibi görünüyor teknoloji haber sitesi Runtime, Snowflake CEO’su Sridhar Ramaswamy’den bu hafta yapılan bir röportajda alıntı yapıyor. Bu daha sonra Cuma güncellemesinde Snowflake’in CISO Jones’u tarafından doğrulandı.
Jones, “Ayrıca müşterilerimizin, özellikle ayrıcalıklı Snowflake müşteri hesapları için çok faktörlü kimlik doğrulama (MFA) veya ağ politikaları gibi gelişmiş güvenlik kontrollerini uygulamalarını zorunlu kılacak bir plan geliştiriyoruz” dedi.
Plana ilişkin bir zaman dilimi verilmedi.
Snowflake hesabına izinsiz girişler hakkında daha fazla bilginiz var mı? Temasta olmak. Bu muhabirle iletişime geçmek için +1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden veya e-posta yoluyla iletişime geçin. Dosya ve belgeleri SecureDrop aracılığıyla da gönderebilirsiniz.