Saldırganlar tarafından 2,3 milyondan fazla kişinin kişisel bilgileri çalındı. MFA koruması olmayan tehlikeye atılmış Snowflake hesapları aracılığıyla, Advance Auto Parts tarafından doğrulandı.
Şirket, Mayıs ayında bildirdi. ABD Menkul Kıymetler ve Borsa Komisyonu, verileri barındıran üçüncü taraf olarak ABD merkezli bulut tabanlı veri depolama ve analiz şirketi Snowflake’un adını vermeden uzlaşmayı açıkladı.
Hangi tür veriler tehlikeye atıldı?
Etkilenen Advance Auto Parts müşterilerine gönderilen veri ihlali bildirimlerinde, tehdit aktörünün kullanıcıların kişisel bilgilerini (isim, Sosyal Güvenlik numarası, ehliyet veya devlet tarafından verilen diğer kimlik numarası ve doğum tarihi) sızdırdığı belirtiliyor.
“Bu bilgiler Advance Auto Parts iş başvuru sürecinin bir parçası olarak toplandı” açıklamasında bulundular ve etkilenen kişilere ücretsiz olarak redit izleme ve kimlik restorasyonu hizmetleri sundular.
MFA koruması olmayan Snowflake hesapları üzerinden 160’tan fazla kuruluşa erişim ihlali yapıldı
En başından beri Snowflake korumuş ancak müşteri hesaplarının ele geçirildiği ve çok faktörlü kimlik doğrulaması (MFA) uygulanmayan hesaplara ait ele geçirilmiş kimlik bilgilerinin kullanılmasıyla veri tabanlarının çalındığı tespit edildi.
Mandiant ve Crowdstrike tarafından yapılan sonraki araştırmalar, şirketin sistemlerinin bir güvenlik açığı veya yanlış yapılandırma nedeniyle ihlal edilmediğini veya erişilmediğini ve “tehdit aktörü tarafından kullanılan kimlik bilgilerinin çoğunun geçmişteki bilgi hırsızı enfeksiyonlarından elde edildiğini” doğruladı.
“Etkilenen müşteri örnekleri çok faktörlü kimlik doğrulaması gerektirmiyordu ve birçok durumda kimlik bilgileri dört yıla kadar döndürülmemişti. Ağ izin listeleri ayrıca güvenilir konumlara erişimi sınırlamak için kullanılmadı,”
Bu saldırıdan TicketMaster, Santander Group, LendingTree ve Advance Auto Parts dahil olmak üzere yaklaşık 165 Snowflake müşterisi etkilendi.
Dersler öğrenildi
Müşterilerin hesaplarını uygun şekilde güvence altına almaları kendi görevleri olsa da, güvenlik araştırmacısı Kevin Beaumont Şirketin MFA’yı (kurum genelinde) etkinleştirmeyi çok kolay hale getirmediği ve MFA olmayan kullanıcıları engellemeye yönelik bir politikanın bulunmadığı.
Bu olay sonunda Snowflake’u bu konuda bir şeyler yapmaya zorladı: Snowflake CISO’su Brad Jones ve baş ürün müdürü Anoosh Saboori duyurdu Salı günü şirketin tanıttığı:
- Kurumsal yöneticilerin Snowflake hesabındaki tüm kullanıcılar için MFA gerektirmesine olanak tanıyan yeni bir kimlik doğrulama politikası
- Snowsight (Snowflake web arayüzü) kullanıcıların hesaplarında MFA kurmasını istiyor. “Bu iletişim kutusu kapatılabilir, ancak kullanıcı için MFA yapılandırılmamışsa üç gün içinde tekrar görünecektir.”
- Yöneticilerin Snowflake Güven Merkezi aracılığıyla MFA politikalarına uyumu izleme olanağı
“Yakında, Snowflake yeni oluşturulan Snowflake hesaplarındaki tüm insan kullanıcılar için MFA gerektirecek. Tüm müşterilerin ortamlarını hazırlamak için MFA kimlik doğrulama politikalarını ve Güven Merkezi’ni kullanmaya başlamalarını ve önümüzdeki aylarda ek özellikler için beklemelerini öneriyoruz,” diye eklediler.
0 Yorumlar