Fortinet, bu hafta “Fortibitch” lakabını kullanan bir bilgisayar korsanının BreachForums üzerinden 440 GB veriyi sızdırmasının ardından, “az sayıda” müşterisine ait verilerin tehlikeye atıldığını doğruladı.
Bilgisayar korsanı, verileri bir Azure SharePoint sitesinden elde ettiğini iddia etti ve şirketin fidye talebi konusunda bireyle pazarlık yapmayı reddetmesinin ardından verileri sızdırdıklarını iddia etti. Durum, şirketlerin güvenliği sağlama sorumluluğunu bir kez daha vurguluyor üçüncü taraf bulut depolarında tutulan verilerAraştırmacılar, “Bu, 1990’ların ortalarından itibaren geçerli.” diyor.
SaaS Ortamına Yetkisiz Erişim
Fortinet, ihlalin kaynağını özel olarak belirlemedi. Ancak 12 Eylül’deki bir tavsiyedeŞirket, birisinin “Fortinet’in üçüncü taraf, bulut tabanlı paylaşımlı dosya sürücüsü örneğinde depolanan sınırlı sayıda dosyaya yetkisiz erişim sağladığını” söyledi.
Piyasa değeri bakımından dünyanın en büyüklerinden biri olan güvenlik sağlayıcısı, sorunun dünya çapında 775.000’den fazla müşterisinin %0,3’ünden azını etkilediğini ve etkilenen kuruluş sayısının yaklaşık 2.325 olduğunu belirtti.
Fortinet, tehlikeye atılan veriler etrafında kötü niyetli bir faaliyet belirtisi görmediğini söyledi. Güvenlik satıcısı, danışma yazısında “Fortinet, müşterileri korumak için derhal bir plan uyguladı ve uygun olduğunda müşterilerle doğrudan iletişim kurdu ve risk azaltma planlarını destekledi,” diye belirtti. “Olay, herhangi bir veri şifrelemesi, fidye yazılımı dağıtımı veya Fortinet’in kurumsal ağına erişim içermiyordu.” Fortinet, olayın herhangi bir faaliyetleri üzerinde önemli etkisi veya finans.
CloudSEK, Dark Reading ile paylaştığı tehdit istihbarat raporunda, Fortibitch kullanıcı adını kullanan bir tehdit aktörünün yalnızca müşteri verilerini değil, aynı zamanda finansal ve pazarlama belgelerini, ürün bilgilerini, Hindistan’dan gelen İK verilerini ve bazı çalışan verilerini de sızdırdığını gözlemlediğini söyledi.
“Aktör şirketten gasp etmeye çalıştı ancak başarısız müzakerelerin ardından verileri yayınladı,” dedi CloudSEK. Şirket, hacker’ın gerçek bir değeri olsaydı önce verileri satmaya çalışacağını tahmin etti.
Fortinet, bilgisayar korsanının çalınan veriler üzerinde şirketle etkileşime girmeye çalışıp çalışmadığını doğrulamadı veya reddetmedi.
Hacker’ın BreachForums’daki gönderisi, bağlamdan biraz bağımsız referanslar içeriyordu Fortinet’in Lacework’ü satın alması ve NextDLP. Ayrıca birkaç başka tehdit aktörü daha referans aldı, bunların en ilginci DC8044 olarak izlenen Ukraynalı bir kuruluş. CloudSEK’e göre “Fortibitch ile DC8044 arasında doğrudan bir bağlantı yok, ancak ton ikisi arasında bir geçmiş olduğunu gösteriyor.” “Mevcut bilgilere dayanarak, tehdit aktörü Ukrayna merkezli olduğundan orta düzeyde güvenle emin olabiliriz.”
Bulut Veri Maruziyeti Risklerine İlişkin Bir Hatırlatma İhlali
Fortinet uzlaşması — görünüşe göre çok büyük olmasa da — artan veri ifşa riskleri kurumsal organizasyonlara kullanırken yazılım hizmeti (SaaS) ve diğer bulut hizmetleri uygun korkuluklar olmadan. Metomic tarafından yakın zamanda yapılan bir tarama Yaklaşık 6,5 milyon Google Drive dosyasının %40’ından fazlasının, çalışan verileri ve parola içeren elektronik tablolar da dahil olmak üzere hassas veriler içerdiği görüldü.
Genellikle, kuruluşlar verileri Google Drive dosyalarında çok az korumayla depoladı. Taranan dosyaların üçte birinden fazlası (%34,2) harici e-posta adresleriyle paylaşıldı ve 350.000’den fazla dosya herkese açık olarak paylaşıldı.
Metomic’in CEO’su ve kurucusu Rich Vibert, kuruluşların bulut ortamlarında verileri korurken yaptıkları üç temel hata olduğunu söylüyor: çok faktörlü kimlik doğrulama (MFA) SaaS uygulamalarına erişimi kontrol etmek; çalışanlara uygulama içindeki klasörlere ve hassas varlıklara çok fazla erişim vermek; ve hassas verileri çok uzun süre saklamak.
Hacker’ın Fortinet’in SharePoint ortamındaki verilere nasıl eriştiği henüz belirsiz. Ancak olası senaryolardan biri, saldırganın örneğin kimlik avı yoluyla geçerli oturum açma kimlik bilgilerine erişim sağlaması ve ardından oturum açıp SharePoint ve benzeri ortamlardan veri sızdırmasıdır, diyor CloudSEK’te tehdit istihbaratı muhabiri olan Koushik Pal. Bilgi hırsızları da “gerçekten yaygın” bir saldırı vektörü, diyor Pal.
Bulut Güvenliğini Yeniden Düşünmek
Pal, “Genellikle geliştiriciler hassas bilgiler için ortam değişkenleri, kasalar veya şifreli depolama kullanmalı ve kaynak kodunda kimlik bilgilerini sabit kodlamaktan kaçınmalıdır,” diyor. Geliştiriciler genellikle API anahtarları, kullanıcı adı ve parola gibi erişim kimlik bilgilerini kaynak koduna sabit kodlar ve istemeden kodu nispeten kolayca erişilebilecekleri genel veya güvenli olmayan özel bir depoya gönderir.
Pal, “Kuruluşlar, kimlik bilgileri tehlikeye atılsa bile yetkisiz erişimi önlemek için SharePoint ve diğer kritik sistemlere erişim için MFA’yı zorunlu hale getirmelidir,” diye açıklıyor. “Ortaya çıkan kimlik bilgileri, hassas veriler veya yanlış yapılandırmalar için depoları düzenli olarak izleyin ve tüm ekiplerde en iyi güvenlik uygulamalarını uygulayın.”
Synopsys Software Integrity Group’ta siber güvenlik kıdemli yöneticisi olan Akhil Mittal, Fortinet’in yaşadığına benzer olayların, kuruluşların bulut varlıkları etrafındaki güvenliği tamamen bulut hizmet sağlayıcılarına bırakmasının neden bir hata olduğunu gösterdiğini söylüyor. “Kuruluşlar, müşteri verilerini nasıl sakladıklarını yeniden düşünün “Paylaşılan sürücülerde, kritik bilgilerin daha az hassas dosyalardan ayrı tutulmasını sağlıyoruz” diyor.
Saldırganlar erişim elde etse bile hasarı azaltmak için hassas verileri hem aktarım sırasında hem de beklemedeyken şifrelemek de iyi bir fikirdir. Mittal, bulut varlıklarının sürekli izlenmesinin onları korumak için temel olduğunu düşünüyor. “Üçüncü taraf platformlarına sıfır güven ilkelerinin uygulanması, hiçbir harici hizmete otomatik olarak güvenilmemesini sağlayarak yetkisiz erişim riskini azaltır,” diye ekliyor.
En son haberleri kaçırmayın Karanlık Okuma Gizli podcast, Iowa’nın Dallas County bölgesinde kalem testi işlerini yaptıkları için tutuklanan ve geceyi hapishanede geçirmek zorunda kalan iki siber güvenlik uzmanıyla konuşuyoruz. Şimdi dinle!