Snowflake, Santander ve Ticketmaster’a ait verileri çalan bir tehdit aktörünün iddialarına karşı çıkıyor ve müşteri verilerinin çalınmasının, çalınan müşteri oturum açma bilgilerinin sonucu olduğunu savunuyor.
Bulut şirketi Snowflake, müşterilerini hedef alan kimlik tabanlı saldırılara ilişkin Cuma günkü uyarının güncellenmesinde, “Snowflake üretim ortamındaki olası bir tehlikeye ilişkin son raporların farkındayız” dedi.
“Bu etkinliğin herhangi bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake ürününün ihlalinden kaynaklandığını gösteren hiçbir kanıtımız yok.”
İşleri temizlemek
Cuma günü şirket onaylanmış bazı müşterilerin hesaplarına daha önce güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırganlar tarafından erişildiği belirtildi. Etkilenen müşterileri bilgilendirdiler, tehlike göstergelerini paylaştılar ve hesaplarının güvenliğini sağlamalarına yardımcı olacak öneriler sundular.
Snowflake müşterilerinin tehdit avcılığını nasıl gerçekleştirebileceği, saldırılar hakkında daha fazla ayrıntı sağladı: Saldırganlar, 2 faktörlü kimlik doğrulamanın açık olmadığı hesapları ihlal etti, bulutta depolanan verileri ele geçirdi ve bunları etkilenen kuruluşlara şantaj yapmak için kullandı.
Hudson Rock araştırmacıları ayrıca tehdit aktörünün, bir Snowflake çalışanının oturum açma bilgilerini çalarak Snowflake’in altyapısını ihlal ettiği yönündeki iddialarını tekrarlayan bir rapor yayınladı. Blog yazısı daha sonra silindi ancak arşivlenmiş bir versiyonu bulunabilir Burada. (Hudson Rock’a bunu neden kaldırdıklarını sorduk ve bir yanıt alırsak/aldığımızda bu makaleyi güncelleyeceğiz.)
Snowflake CISO’su Brad Jones, tehdit aktörünün genel iddialarını reddetti ve bazı özel iddiaları da yalanladı:
“Etkilenen müşteri hesaplarına benzer şekilde, tehdit aktörünün eski bir Snowflake çalışanının sahip olduğu demo hesabına kişisel kimlik bilgileri elde ettiğine ve bu hesaba eriştiğine dair kanıtlar bulduk” dedi. Ancak hesabın hassas veriler içermediğini ve Snowflake’in üretim veya kurumsal sistemleriyle bağlantılı olmadığını iddia etti.
“Erişim mümkündü çünkü demo hesabı, Snowflake’in kurumsal ve üretim sistemlerinden farklı olarak Okta veya MFA’nın arkasında değildi” ve şunu ekledi: “Müşterilerin kimlik bilgilerine yönelik bir ‘ana Uygulama Programlama Arayüzü (API)’ veya yolu yoktur.” Snowflake üretim ortamına erişilebiliyor ve bu ortamdan dışarı çıkılabiliyor.”
Santander ve Ticketmaster verilerinin çalınması doğrulandı
Tehdit aktörü ayrıca Snowflake’in sunucularını ihlal ederek Santander Bank ve Ticketmaster’a ait verileri ele geçirebildiklerini de iddia etti.
Saldırganların üçüncü taraf bir sağlayıcı tarafından barındırılan veritabanlarından birine eriştiği ancak Snowflake adını vermediği belirtildi.
Live Nation Entertainment – Ticketmaster’ın ana şirketi – rapor edildi Menkul Kıymetler ve Borsa Komisyonu’na, “Şirket verilerini içeren üçüncü taraf bir bulut veri tabanı ortamında (öncelikle Ticketmaster LLC yan kuruluşundan) izinsiz faaliyet tespit ettiklerini ve ne olduğunu anlamak için sektörün önde gelen adli tıp müfettişleriyle bir soruşturma başlattıklarını” bildirdi.
0 Yorumlar