Snowflake veri sızıntısı: Hackerların infostealer bulaşması üzerinden erişim sağladığı doğrulandı
(hudsonrock.com)- 31 Mayıs 2024'te bulut şirketi Snowflake büyük çaplı bir veri sızıntısı yaşadı.
- Hackerların, infostealer bulaşması yoluyla erişim sağladığı Hudson Rock'a doğrulandı.
- Hackerlar, Ticketmaster ve Santander Bank dahil birçok büyük şirketin verilerini Rusça bir siber suç forumunda sattı.
Saldırının yöntemi
- Hackerlar, Snowflake çalışanının ServiceNow hesabına çalınmış kimlik bilgilerini kullanarak giriş yaptı.
- OKTA'yı aşarak oturum belirteci oluşturdu ve büyük miktarda veriyi dışarı aktardı.
- Hackerlar, yaklaşık 400 şirketin etkilendiğini iddia etti.
Ek kanıtlar
- Hackerlar, Hudson Rock araştırmacılarıyla Snowflake sunucularına erişimi gösteren bir CSV dosyası paylaştı.
- Bu dosya, Snowflake'in Avrupa sunucularıyla ilişkili 2.000'den fazla müşteri örneğini belgeliyor.
Hackerların hedefi
- Hackerlar, verileri geri vermek karşılığında Snowflake'ten 20 milyon dolar talep etti.
- Şirket buna yanıt vermedi.
Infostealer bulaşmalarındaki artış
- Infostealer bulaşmaları 2018'den bu yana %6000 artarak başlıca ilk saldırı vektörlerinden biri haline geldi.
- Bu yöntem, fidye yazılımı, veri sızıntısı, hesap ele geçirme ve kurumsal casusluk gibi siber saldırıları gerçekleştirmek için kullanılıyor.
GN⁺ görüşü
- Siber güvenliğin önemi: Bu olay, şirketlerin siber güvenliğe daha fazla önem vermesi gerektiğini gösteriyor. Özellikle çalışan kimlik bilgilerinin yönetimi kritik.
- Infostealer tehdidi: Infostealer'lar çok hızlı yayılıyor ve şirketlerin buna karşı hazırlık yapması gerekiyor.
- Müdahale stratejisi: Bir hack olayı yaşandığında hızlı müdahale ve zararı en aza indirme stratejileri gerekli. Snowflake'in müdahalesindeki gecikme zararın büyümesine yol açtı.
- Güvenlik eğitimi: Çalışanlara güvenlik eğitiminin güçlendirilmesi, kimlik bilgisi yönetimi ve phishing saldırılarına yönelik farkındalığın artırılması önemli.
- Alternatif çözümler: Snowflake'e benzer işlevler sunan başka bulut depolama çözümleri değerlendirilebilir. Örneğin AWS S3 veya Google Cloud Storage.
1 yorum
Hacker News yorumları
Şu anda bağlantılı URL
/adresine 302 yönlendirmesi yapıyor. @dang, aşağıdaki arşiv bağlantısıyla değiştirmek daha iyi görünüyorhttps://web.archive.org/web/20240531140540/https://www.hudso...
Ancak Hudson Rock’ın blog yazısını kaldırması da ilginç bir işaret; bu yüzden sadece arşiv bağlantısıyla değiştirip geçmemek gerek. Ne değişti?
Ek: Snowflake’in resmî yanıtı, orijinal yazının temel iddialarının neredeyse tamamını fiilen reddediyor gibi görünüyor. Hudson Rock dürüst olmayan bir kaynağa kanmış ve hatasını fark edip yazıyı kaldırmış olabilir
https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Snowflake’ten Felipe ben. Snowflake’in bu konudaki en güncel tutumu burada: https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Ek gelişme olursa bu URL’yi güncellemeye devam edeceğim
Buna karşılık Snowflake’in “Etkilenen müşteri hesaplarına benzer şekilde, tehdit aktörünün eski bir Snowflake çalışanına ait demo hesabına kişisel kimlik bilgilerini elde ederek eriştiğine dair kanıt bulduk. Hassas veri yoktu” cümlesi, Snowflake’in Hudson Rock’ın anlatımını yanlış olarak gördüğü anlamına geliyor gibi okunuyor. Bu anlayış doğru mu?
Buna karşılık Snowflake yazısı, müşteri hesabı kimlik bilgilerinin sızdığı, bununla sınırlı kaldığı ve merkezi bir hesaba ya da başka hesaplara erişim olmadığı izlenimi veriyor. İki faktörlü kimlik doğrulaması olmayan çalışan hesabı bilgilerinin kullanımı hakkında ise hiçbir şey söylemiyor
Snowflake’in, dahili çalışanların tüm erişim kimlik bilgilerinde iki faktörlü kimlik doğrulama istemesi gerektiği açık. Geçmişte müşteriler isterse kendi verilerine giriş yapmak için yalnızca ad/parola oluşturup iki faktörlü kimlik doğrulama olmadan da erişebiliyordu
Sohbet kayıtlarının ekran görüntüsü gerçekten etkileyici. Bu şirket gerçek bir suçluyla iletişimde olduğunu iddia ediyor; suçlu da bu şirketi kullanmış olsalardı ihlali önlemeye yardımcı olabileceğini söylüyor
Bu yüzden bu şirketin güvenilirliği konusundaki değerlendirmemi güncelledim
Hudson Rock da buna uyup hikâyeyi olduğundan daha büyük bir ihlal gibi şişirmiş gibi. Hacker’ın önce Hudson Rock’a mı gittiğini, yoksa onu kabul eden ilk şirketin Hudson Rock mı olduğunu da merak ediyorum
“Hudson Rock’ın korumasını satın almalıydınız; o zaman bu olay önlenebilirdi”
“Doğru, kesinlikle yardımcı olurdu”
“Tebrikler. Şirketiniz sürpriz bir bilgi güvenliği denetiminden geçti ve fidye yazılımı kurbanı oldu.”
[...]
Sunulanlar: 1) tam şifre çözme desteği 2) veri silme kanıtı 3) bulunan açıklar için güvenlik raporu 4) verileri yayımlamama veya satmama garantisi 5) gelecekte saldırmama garantisi
Sonuçta, bordronuzda olduğunu bilmediğiniz bir güvenlik danışmanlık şirketinden ibaret
Bu arada veri silme kanıtı olarak ne verdiklerine baktım; kelimenin tam anlamıyla yalnızca
rm -vrf datakomutunun standart çıktısıydı. Yokluğun kanıtını sunmanın imkânsız olduğunu ve kurbanın pazarlık gücü olmadığını anlıyorum, ama bu sahneleme oldukça hoşuma gidiyorGerçek olsa bile Hudson Rock mesajlarını çıkarmak sağduyu gereği olurdu. Bu şirketi zihnimdeki kara listeye aldım
Failin ifadelerine bakılırsa Snowflake sistemi, tek bir yönetici hesabına her şey üzerinde tam yetki verecek şekilde tasarlamış gibi görünüyor.
Snowflake’in 31 Mayıs’taki duyurusunda “bazı müşterileri etkileyen sektör genelinde kimlik tabanlı bir saldırıyı” araştırdığını söylemesi de Ticketmaster ve Santander anlatılarına inandırıcılık katıyor.
https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Tehdit aktörü bunu düzgün yapmış olsaydı, tarihin en büyük veri sızıntılarından biri olabilirdi.
Veriler, müşteriler veya potansiyel müşteriler için demolar hazırlarken kullandığı Snowflake hesabından çıkmış gibi görünüyor. Müşterilerin gerçek verilerinin bir kısmını demoda kullanması için erişim vermiş olma ihtimali var; ancak bu, müşterinin Snowflake veritabanına sınırsız erişimi olduğu anlamından çok uzak.
Hacker’ın demo amaçlı, sahte ama gerçekçi görünen verileri çekmiş olması ve aradaki farkı bilmiyor olması gayet mümkün.
Tek bir satış mühendisi birden fazla hesaptan sorumludur. Snowflake satış mühendisleri genellikle müşteri ortamı içinde kurulum yapmaz; herkesin oluşturabileceği 400 dolarlık kredi içeren demo hesabı hazırlar. Demo hesaplarının süresi dolduğu için sürekli yenileri oluşturulur.
Satış mühendisi, oluşturduğu demo hesabının içinde kurulum yapar ve bunu müşteriye gösterir. 30 gün sonra Snowflake, kredi kartı yoksa hesabı kilitler; ardından demo instance’ını ve verileri siler.
Çalışma için müşteri, kendi Snowflake instance’ından satış mühendisinin oluşturduğu demo instance’ına veri paylaşabilir ya da SSO üzerinden o Snowflake satış mühendisine erişim verebilir.
Her iki durumda da bu daha çok, kuruluşların güvenlik duruşunu yeterince kısıtlayıcı şekilde işletmemesiyle ilgili bir sorun. Çok çalışan bir satış mühendisini ve çalışan/yüklenici/misafir yetki kapsamını düzgün sınırlamayan müşterileri bulmuş olmaları dışında yeni bir tarafı olmayan bir saldırı.
İlginç biçimde ilk sayfada, Doğu Avrupa’daki STK’ları hedeflemek için Pegasus kullanıldığına dair bağlantılı bir hikâye de var. En az ayrıcalık ilkesi önemli, ama cihaz güvenliği de önemli.
https://news.ycombinator.com/item?id=40535912
Snowflake çalışanı değilim ama Snowflake ve satış mühendisliği organizasyonuyla çok zaman geçirerek çalıştım.
Müşterilerle demo hazırlarken satış mühendisleri, herkesin oluşturabileceği 400 dolarlık Snowflake demo hesabıyla gösterim ortamı kurar. Demo hazırlamak için müşteri o satış mühendisine erişim verir, satış mühendisi de bazı verileri demo ortamına taşıyıp üzerinde çalışır. Hudson Rock’ın yayımladığı ortam adları da bunu destekliyor.
Bana göre bu, veri paylaşan kişinin kimliğini müşterinin süresini bitirmemesi ve tehdit aktörünün kimlik bilgilerini çalmasıyla ilgili bir süreç sorunu. Bir güvenlik açığı istismarı olmadığı için yeni bir tarafı yok.
Ayrıca Hudson Rock, bilgisayarında kötü amaçlı yazılım olduğu için mağdur olan kişiyi kamuya açık biçimde ifşa ettiğiniz için tebrikler. Bir yükleniciye kimlik bilgileri verilip bunların çalınmasından farklı değil. Çok çirkin bir davranış.
Snowflake’te satış mühendisinin kimlik bilgileri çalınabiliyor; bu kimlik bilgileri çok faktörlü kimlik doğrulamayı atlatabiliyor ve makaleye göre süresi de dolmuyor. Bu strike 1, 2 ve 3.
Snowflake’in güvenlik uygulamaları, müşterilerin geniş veri kümelerine erişimi Snowflake çalışanlarıyla paylaşmasının gerekli olduğu ya da en azından teşvik edildiği bir durum yaratmış. Bu da strike 4.
Müşterinin aşırı geniş erişim vermesinde sorumluluğu var; ancak böyle bir erişime gerek bırakmayacak daha iyi sistemler kurmamak ya da en azından bu geçişli erişimi daha iyi denetleyip kontrol etmemek konusunda Snowflake’in de sorumluluğu var.
Böyle bir hesap müşteri verilerine erişim aldığı anda artık “demo hesabı” değildir. Gerçek bir hesaptır ve gerçekten çok değerli veriler içerdiği için öyle ele alınmalıdır.
Ek: Snowflake, söz konusu demo hesabının müşteri verilerine erişmediğini ve sızıntının kaynağı olmadığını iddia ediyor; bu da saldırganın iddiasıyla çelişiyor.
“Dünya genelinde ele geçirilmiş yüz binlerce şirkete ve aktif zafiyetlere sahip potansiyel müşteri bulma platformuna erişip, bunları müşteriye dönüştürebildiğinizi hayal edin.”
Bu tür şirketlerden birkaçını gördüm ve onlarla muhatap oldum; oldukça düşük seviye taktikler ve teknik açıdan da beceri ya da emek düzeyi düşük.
Snowflake’ın resmi yanıtında şöyle deniyor:
“Bunun, müşteri verilerini elde etme niyetiyle sektör genelinde sürmekte olan kimlik tabanlı saldırıların sonucu olduğunu düşünüyoruz. İncelememize göre bu saldırılar, ilgisiz siber tehdit faaliyetleri yoluyla açığa çıkan müşterilere ait kullanıcı kimlik bilgileriyle gerçekleştiriliyor. Şu ana kadar bu faaliyetin Snowflake ürünündeki bir güvenlik açığı, yapılandırma hatası veya kötü niyetli faaliyet nedeniyle gerçekleştiğini düşünmüyoruz.”
[0]https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
Görünüşe göre makaleyi gizliye almışlar, ama Wayback Machine’de hâlâ duruyor: https://web.archive.org/web/20240531140540/https://www.hudso...
Bu yazı, birkaç gün önceki Ticketmaster ihlalinin aslında Snowflake çalışanına ait çalınmış kimlik bilgileri üzerinden 400’den fazla şirketi etkileyen çok daha geniş çaplı bir hack olduğunu iddia ediyor.
Şimdilik yalnızca hudsonrock.com’da haberleştirilen büyük bir hikâye gibi görünüyor. Hudson Rock’ı ilk kez duyuyorum; güvenilir bir kaynak olup olmadığını bilen var mı?
Birden fazla hesabı Reddit moderatörleri ve yöneticileri tarafından yasaklandı. Kişisel olarak güvenilir ya da inanılır bir kaynak olarak görmüyorum
https://www.bbc.co.uk/news/articles/c6ppv06e3n8o
Snowflake, bunun kendi hataları değil müşterilerin hatası olduğunu söylüyor gibi.
https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
https://www.hudsonrock.com/blog/snowflake-massive-breach-acc... tamamen uydurma bir hikâye değilse, Snowflake gerçeği biraz daha az dürüstçe anlatıyor.
“İncelemeye göre…” ifadesi, bunun kendi incelemeleri mi yoksa genel güvenlik araştırması mı olduğu konusunda belirsiz. “Snowflake ürünündeki bir güvenlik açığı, yapılandırma hatası veya kötü niyetli faaliyet nedeniyle olduğunu düşünmüyoruz” cümlesi de olası senaryoları sıralayıp bunlar değil derken, olayın gerçekte nasıl gerçekleştiğini ustaca dışarıda bırakıyor.
Hudson Rock’a inanırsak Snowflake, kötü niyetli aktör tarafından kendisiyle iletişime geçildiği için bunun nasıl gerçekleştiğini muhtemelen oldukça iyi biliyordu
“İlgisiz siber tehdit faaliyetleri yoluyla açığa çıkan müşterilere ait kullanıcı kimlik bilgileriyle gerçekleştirildi” dediklerine göre, uydurma değilse kimlik bilgilerinin başka bir yerden elde edildiğini düşünüyorlar gibi.
Sonunda müşterilerden hesap ayarlarını gözden geçirmelerini istiyorlar; yani sorumluluğu kendilerinden uzaklaştırma yönünde. Yine de şu anki kaynaklar, hacklendiğini söyleyen şirket ile bu olayı kendi ürününü tanıtmak için kullanırken bir çalışanı utanmazca doxxing yapan şirket olduğundan, daha ayrıntılı bilgi çıkana kadar beklemek gerek gibi
Hacker, refresh token’ları bile geçersiz kılmadıklarını iddia ediyor; bu doğruysa inanılmaz derecede büyük ve bariz bir sorun
Makale, “yüzlerce müşteri ihlali” başlığıyla pek tutarlı görünmüyor.
Birincisi, lift/okta parolası yalnızca ServiceNow portalına erişim sağlıyor gibi, müşteri hesaplarına erişim değil; dolayısıyla refresh token sorunu ServiceNow portalıyla sınırlı görünüyor ve gerçek müşteri Snowflake hesaplarındaki veri sızıntısıyla ilişkili görünmüyor.
İkincisi, 10 şirket hesabının ihlal edildiğini gösteren ekran görüntüsünde farklı Snowflake hesaplarına ait 4 kimlik bilgisi görünüyor; bunlardan biri kişisel demo hesabı gibi duruyor. Bu nedenle en fazla 3 müşteri ihlalini açıklayabilir, ancak diğer müşteri ihlallerini gösteren ayrıntı yok.
Satış mühendisinin üzerinde çalıştığı tüm müşterilere ait tüm kimlik bilgilerinin ihlal edildiğini varsaysak bile, ihlal edilen müşteri sayısı muhtemelen düşük iki haneli sayılarda olurdu. Çünkü her müşteri hesabının satış mühendisine ayrı ayrı erişim yetkisi vermiş olması gerekirdi.
Dahili Okta portalındaki refresh token sorununa dayanarak tüm Snowflake müşterilerinin ihlal edildiğini söylemek büyük bir sıçrama; ayrıca o sorun herhangi bir müşteri Snowflake hesabıyla bağlantılı değil