Snowflake’in müşteri verilerinin çalınmasını takip eden güvenlik sorunları, daha iyi bir kelime bulmak için kartopu gibi büyüyor.
Ticketmaster’ın kendi şirketlerini birbirine bağlayan ilk şirket olmasından sonra bulut veri şirketi Snowflake’e yönelik son veri ihlalikredi karşılaştırma sitesi LendingTree, QuoteWizard iştirakinin Snowflake’ten veri çalındığını doğruladı.
LendingTree sözcüsü Megan Greuling TechCrunch’a yaptığı açıklamada, “İş operasyonlarımız için Snowflake kullandığımızı ve yan kuruluşumuz QuoteWizard’ın verilerinin bu olaydan etkilenmiş olabileceği konusunda onlar tarafından bilgilendirildiğimizi teyit edebiliriz” dedi.
“Bu konuları ciddiyetle ele alıyoruz ve yetkililerden haber aldıktan hemen sonra [Snowflake] bir iç soruşturma başlattı,” dedi Greuling. “Şu an itibariyle, tüketici finansal hesap bilgilerinin ya da ana kuruluş olan LendingTree’nin bilgilerinin etkilendiği görülmemektedir.”
Greuling, şirketin devam eden soruşturmasını gerekçe göstererek daha fazla yorum yapmayı reddetti.
Etkilenen müşterilerin sayısı arttıkça Snowflake çok az şey söyledi web sitesinde yer alan kısa bir açıklamanın ötesinde kendi sistemlerinde bir veri ihlali olmadığını yineledi. Bunun yerine, müşterilerin çok faktörlü kimlik doğrulama veya MFA kullanmadığını söylüyor – Snowflake’in uygulamadığı veya müşterilerinin varsayılan olarak etkinleştirmesini gerektirmediği bir güvenlik önlemi. Snowflake, eski bir çalışanının “demo” hesabının yalnızca kullanıcı adı ve parola ile korunduğu için ele geçirildiğini söyleyerek olaydan kendisi de haberdar oldu.
Snowflake Cuma günü yaptığı açıklamada pozisyonunun “değişmediğini” söyledi. Snowflake baş bilgi güvenliği sorumlusu Brad Jones’un bunun “tek faktörlü kimlik doğrulaması olan kullanıcılara yönelik hedefli bir kampanya” olduğunu ve bilgi çalan kötü amaçlı yazılımlardan çalınan veya önceki veri ihlallerinden elde edilen kimlik bilgilerini kullandığını söylediği daha önceki bir açıklamaya atıfta bulundu.
MFA’nın eksikliği, siber suçluların ek güvenlik katmanı tarafından korunmayan Snowflake müşterilerinin ortamlarından büyük miktarda veriyi nasıl indirdiğine benziyor.
TechCrunch bu hafta başında internette yüzlerce Snowflake müşterisinin kimlik bilgileri parola çalan kötü amaçlı yazılım tarafından çalındı işverenlerinin Snowflake ortamına erişimi olan çalışanların bilgisayarlarına bulaştı. Kimlik bilgilerinin sayısı, henüz şifrelerini değiştirmemiş veya MFA’yı etkinleştirmemiş Snowflake müşterileri için bir risk olduğunu göstermektedir.
Hafta boyunca TechCrunch olarak Snowflake’e, müşterilerini etkileyen ve devam etmekte olan olayla ilgili bir düzineden fazla soru gönderdik. Snowflake en az altı kez sorularımızı yanıtlamayı reddetti.
Bunlar sorduğumuz sorulardan bazıları ve nedenleri.
Kaç Snowflake müşterisinin etkilendiği ya da Snowflake’in bunu bilip bilmediği henüz bilinmiyor.
Snowflake, bugüne kadar şirketin etkilenmiş olabileceğine inandığı “sınırlı sayıda Snowflake müşterisini” bilgilendirdiğini söyledi. Snowflake web sitesinde, teknoloji şirketleri, telekomünikasyon şirketleri ve sağlık hizmeti sağlayıcıları da dahil olmak üzere 9.800’den fazla müşterisi olduğunu söylüyor.
Snowflake sözcüsü Danica Stanczak, etkilenen müşteri sayısının onlarca, düzinelerce, yüzlerce ya da daha fazla olup olmadığını söylemekten kaçındı.
Bu hafta bildirilen bir avuç müşteri ihlaline rağmen, bu olayın ölçeğini anlamak için henüz ilk günlerde olmamız muhtemeldir.
Henüz kaç müşterisinin etkilendiği Snowflake için bile net olmayabilir, çünkü şirketin ya loglar gibi kendi verilerine güvenmesi ya da doğrudan etkilenen bir müşteriden öğrenmesi gerekecektir.
Snowflake’in müşterilerinin hesaplarına yapılan izinsiz girişlerden ne kadar erken haberdar olabileceği bilinmiyor. Snowflake’in açıklamasında “tehdit faaliyetinden” -müşteri hesaplarına erişilmesi ve içeriklerinin indirilmesi- 23 Mayıs’ta haberdar olunduğu, ancak daha sonra Nisan ortasından daha kesin olmayan bir zaman dilimine kadar uzanan izinsiz girişlere dair kanıtlar bulunduğu belirtildi, bu da şirketin güvenebileceği bazı verilere sahip olduğunu gösteriyor.
Ancak bu aynı zamanda Snowflake’in neden Mayıs ayının sonlarına kadar sunucularından büyük miktarda müşteri verisinin sızdığını tespit etmediği ya da tespit ettiyse bile neden müşterilerini daha önce kamuoyu önünde uyarmadığı sorusunu da açıkta bırakıyor.
Olay müdahale firması Mandiant, Snowflake’in müşterilerine ulaşma konusunda yardım istedi, Mayıs sonunda Bleeping Computer’a şunları söyledi firmanın etkilenen kuruluşlara “birkaç haftadır” yardım ettiğini söyledi.
Eski Snowflake çalışanının demo hesabında ne olduğunu ya da bunun müşteri veri ihlalleriyle ilgili olup olmadığını hala bilmiyoruz.
Snowflake’in açıklamasından önemli bir satır şöyle: “Bir tehdit aktörünün eski bir Snowflake çalışanına ait demo hesaplarının kişisel kimlik bilgilerini elde ettiğine ve bu hesaplara eriştiğine dair kanıt bulduk. Hassas veriler içermiyordu.”
TechCrunch tarafından yapılan bir incelemeye göre, bilgi çalan kötü amaçlı yazılımla bağlantılı çalınan müşteri kimlik bilgilerinden bazıları, o zamanki bir Snowflake çalışanına ait olanları da içeriyor.
As daha önce belirtmiştikTechCrunch, yanlış bir şey yaptığı açık olmadığı için çalışanın ismini vermiyor. Snowflake’in, siber suçluların yalnızca kullanıcı adı ve şifresini kullanarak o zamanki bir çalışanın “demo” hesabından veri indirmesine izin veren kendi MFA uygulama eksikliği nedeniyle yakalanmış olması, Snowflake’in güvenlik modelindeki temel bir sorunu vurgulamaktadır.
Ancak bu demo hesabın müşteri verilerinin çalınmasında nasıl bir rolü olduğu belirsizliğini koruyor çünkü içinde hangi verilerin depolandığı ya da Snowflake’in diğer müşterilerinin verilerini içerip içermediği henüz bilinmiyor.
Snowflake, eğer varsa, o zamanki Snowflake çalışanının demo hesabının son müşteri ihlallerinde ne gibi bir rolü olduğunu söylemeyi reddetti. Snowflake demo hesabın “hassas veri içermediğini” yineledi, ancak şirketin “hassas veri” olarak gördüğü şeyi nasıl tanımladığını söylemeyi tekrar tekrar reddetti.
Snowflake’in bireylerin kişisel olarak tanımlanabilir bilgilerinin hassas veriler olduğuna inanıp inanmadığını sorduk. Snowflake yorum yapmayı reddetti.
Snowflake’in neden proaktif olarak parolaları sıfırlamadığı ya da müşterilerinin hesaplarında MFA kullanımını zorunlu tutmadığı ve uygulamadığı belirsiz.
Bu Şirketler için alışılmadık bir durum değil için müşterilerinin şifrelerini zorla sıfırlama bir veri ihlalinin ardından. Ancak Snowflake’e sorarsanız, herhangi bir ihlal söz konusu değil. Ve bu, merkezi altyapısının görünürde tehlikeye girmediği anlamında doğru olsa da, Snowflake’in müşterileri çok fazla ihlal ediliyor.
Kar Tanesi’nin müşterilerine tavsiyeler Snowflake kimlik bilgilerini sıfırlamak ve rotasyona tabi tutmak ve tüm hesaplarda MFA’yı zorunlu kılmaktır. Snowflake daha önce TechCrunch’a müşterilerinin kendi güvenliklerinden sorumlu olduklarını söylemişti: “Snowflake’in paylaşılan sorumluluk modeli kapsamında, müşteriler kullanıcılarıyla MFA’yı uygulamaktan sorumludur.”
Ancak bu Snowflake müşteri veri hırsızlıkları, MFA ile korunmayan hesapların çalınan kullanıcı adları ve şifrelerinin kullanımıyla bağlantılı olduğundan, Snowflake’in müşterileri adına hesaplarını şifre sıfırlamaları veya zorunlu MFA ile korumak için müdahale etmemesi alışılmadık bir durumdur.
Bu daha önce görülmemiş bir şey değil. Geçen yıl siber suçlular, MFA ile korunmayan 23andMe hesaplarından 6,9 milyon kullanıcı ve genetik kaydı çaldı. 23andMe daha fazla kazıma saldırısını önlemek için kullanıcı şifrelerini sıfırlayınve daha sonra tüm kullanıcılarının hesaplarında MFA kullanımını zorunlu kıldı.
Snowflake’e, şirketin olası başka izinsiz girişleri önlemek için müşterilerinin hesaplarının şifrelerini sıfırlamayı planlayıp planlamadığını sorduk. Snowflake yorum yapmayı reddetti.
Snowflake, MFA’yı varsayılan olarak kullanıma sunmaya doğru ilerliyor gibi görünüyor. teknoloji haberleri sitesi RuntimeSnowflake CEO’su Sridhar Ramaswamy’nin bu hafta verdiği bir röportajdan alıntı. Bu durum daha sonra Snowflake’in CISO’su Jones tarafından Cuma günkü güncellemede teyit edildi.
Jones, “Ayrıca müşterilerimizden, özellikle ayrıcalıklı Snowflake müşteri hesapları için çok faktörlü kimlik doğrulama (MFA) veya ağ politikaları gibi gelişmiş güvenlik kontrolleri uygulamalarını talep etmek için bir plan geliştiriyoruz” dedi.
Plan için bir zaman çerçevesi verilmemiştir.
Snowflake hesap izinsiz girişleri hakkında daha fazla şey biliyor musunuz? İletişime geçin. Bu muhabirle iletişime geçmek için Signal ve WhatsApp üzerinden +1 646-755-8849 numaralı telefondan veya e-posta ile. Ayrıca dosya ve belgeleri şu yolla da gönderebilirsiniz SecureDrop.