Güvenlik araştırmacıları, finansal motivasyona sahip siber suçluların, bulut depolama devi Snowflake’te geniş veri bankalarını barındıran yüzlerce müşteriden “önemli miktarda veri” çaldığına inandıklarını söylüyor.
Son zamanlardaki veri hırsızlıklarını araştırmak için Snowflake ile birlikte çalışan olay müdahale firması Mandiant, şunları söyledi: Pazartesi günü bir blog yazısında İki firmanın yaklaşık 165 müşteriye verilerinin çalınmış olabileceğini bildirdiği belirtildi.
Hesapların hacklendiği Nisan ayından bu yana, etkilenen Snowflake müşterilerinin sayısı ilk kez açıklandı. Snowflake şu ana kadar saldırılarla ilgili çok az şey söyledi, yalnızca “sınırlı sayıda” müşterisinin etkilendiğini söyledi. Bulut veri devinin, veri analitiği için Snowflake’i kullanan sağlık kuruluşları, perakende devleri ve dünyanın en büyük teknoloji şirketlerinden bazıları gibi 9.800’den fazla kurumsal müşterisi var.
Şimdiye kadar yalnızca Ticketmaster ve LendingTree, çalınan verilerinin Snowflake’te barındırıldığı veri hırsızlıklarını doğruladı. Diğer birçok Snowflake müşterisi, şu anda Snowflake ortamlarından olası veri hırsızlıklarını araştırdıklarını söylüyor.
Mandiant, tehdit kampanyasının “devam ettiğini” belirterek, veri hırsızlıklarını bildiren Snowflake kurumsal müşterilerinin sayısının artabileceğini öne sürdü.
İçinde onun blog yazısıMandiant, hesap hacklemelerini, güvenlik firmasının para kazanmak amacıyla motive olduğunu söylediği, henüz sınıflandırılmamış bir siber suç çetesi olan UNC5537’ye bağladı. Mandiant’ın, üyelerinin Kuzey Amerika’dan ve en az bir üyesinin de Türkiye’den olduğunu söylediği çete, kurbanlarından dosyalarını geri almaları veya müşterilerinin verilerinin kamuya açıklanmasını engellemeleri için şantaj yapmaya çalışıyor.
Mandiant, “müşterinin Snowflake örneğine erişmek ve sonuçta değerli verileri sızdırmak için çalınan kimlik bilgilerinin kullanımına” dayanan saldırıların, araştırmacılarının isimsiz bir Snowflake müşterisinin ortamına uygunsuz erişime ilişkin kanıtları ilk kez tespit ettiği en az 14 Nisan’a kadar uzandığını doğruladı. . Mandiant, Snowflake’i 22 Mayıs’ta müşteri hesabına yapılan saldırılara karşı bilgilendirdiğini söyledi.
Güvenlik firması, UNC5537 tarafından kullanılan çalıntı kimlik bilgilerinin çoğunluğunun “tarihsel bilgi hırsızlığı enfeksiyonlarından elde edildiğini” ve bazılarının tarihinin 2020 yılına kadar uzandığını söyledi. Mandiant’ın bulguları Snowflake’in sınırlı açıklamasını onaylayınSnowflake’in kendi sistemlerinde doğrudan bir ihlal olmadığını söyleyen ancak müşteri hesaplarını çok faktörlü kimlik doğrulamayı (MFA) kullanmamakla suçladı.
Geçtiğimiz hafta TechCrunch, işverenlerinin Snowflake ortamına erişimi olan çalışanların bilgisayarlarına bulaşan kötü amaçlı yazılım tarafından çalınan yüzlerce Snowflake müşteri kimlik bilgilerinin internette dolaştığını tespit etti. Snowflake ortamlarıyla bağlantılı çevrimiçi olarak kullanılabilen kimlik bilgilerinin sayısı, henüz parolalarını değiştirmemiş veya MFA’yı etkinleştirmemiş müşteriler için devam eden bir risk olduğunu göstermektedir.
Mandiant ayrıca “bilgi hırsızları aracılığıyla yüzlerce müşterinin Snowflake kimlik bilgilerinin ifşa edildiğini” gördüğünü söyledi.
Snowflake kendi adına müşterilerinin varsayılan olarak güvenlik özelliğini kullanmasını veya güvenlik özelliğinin kullanımını zorunlu kılmasını gerektirmez. Cuma günü yapılan kısa bir güncellemede Snowflake, müşterilerinin hesaplarında MFA kullanımını zorunlu kılmak için “bir plan geliştirdiğini” söyledi ancak henüz bir zaman çizelgesi sunmadı.
Snowflake sözcüsü Danica Stanczak, şirketin neden müşteri şifrelerini sıfırlamadığını veya MFA’yı zorunlu kılmadığını söylemeyi reddetti. Snowflake, Pazartesi günü Mandiant’ın blog yazısı hakkında hemen yorum yapmadı.
Snowflake hesabına izinsiz girişler hakkında daha fazla bilginiz var mı? Temasta olmak. Bu muhabirle iletişime geçmek için +1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden veya e-posta yoluyla iletişime geçin. Dosya ve belgeleri SecureDrop aracılığıyla da gönderebilirsiniz.