Snowflake veri sızıntısı: Hackerların infostealer bulaşması üzerinden erişim sağladığı doğrulandı

 (hudsonrock.com)
1 puan yazan GN⁺ 2024-06-01 | 1 yorum | WhatsApp'ta paylaş
  • 31 Mayıs 2024'te bulut şirketi Snowflake büyük çaplı bir veri sızıntısı yaşadı.
  • Hackerların, infostealer bulaşması yoluyla erişim sağladığı Hudson Rock'a doğrulandı.
  • Hackerlar, Ticketmaster ve Santander Bank dahil birçok büyük şirketin verilerini Rusça bir siber suç forumunda sattı.

Saldırının yöntemi

  • Hackerlar, Snowflake çalışanının ServiceNow hesabına çalınmış kimlik bilgilerini kullanarak giriş yaptı.
  • OKTA'yı aşarak oturum belirteci oluşturdu ve büyük miktarda veriyi dışarı aktardı.
  • Hackerlar, yaklaşık 400 şirketin etkilendiğini iddia etti.

Ek kanıtlar

  • Hackerlar, Hudson Rock araştırmacılarıyla Snowflake sunucularına erişimi gösteren bir CSV dosyası paylaştı.
  • Bu dosya, Snowflake'in Avrupa sunucularıyla ilişkili 2.000'den fazla müşteri örneğini belgeliyor.

Hackerların hedefi

  • Hackerlar, verileri geri vermek karşılığında Snowflake'ten 20 milyon dolar talep etti.
  • Şirket buna yanıt vermedi.

Infostealer bulaşmalarındaki artış

  • Infostealer bulaşmaları 2018'den bu yana %6000 artarak başlıca ilk saldırı vektörlerinden biri haline geldi.
  • Bu yöntem, fidye yazılımı, veri sızıntısı, hesap ele geçirme ve kurumsal casusluk gibi siber saldırıları gerçekleştirmek için kullanılıyor.

GN⁺ görüşü

  • Siber güvenliğin önemi: Bu olay, şirketlerin siber güvenliğe daha fazla önem vermesi gerektiğini gösteriyor. Özellikle çalışan kimlik bilgilerinin yönetimi kritik.
  • Infostealer tehdidi: Infostealer'lar çok hızlı yayılıyor ve şirketlerin buna karşı hazırlık yapması gerekiyor.
  • Müdahale stratejisi: Bir hack olayı yaşandığında hızlı müdahale ve zararı en aza indirme stratejileri gerekli. Snowflake'in müdahalesindeki gecikme zararın büyümesine yol açtı.
  • Güvenlik eğitimi: Çalışanlara güvenlik eğitiminin güçlendirilmesi, kimlik bilgisi yönetimi ve phishing saldırılarına yönelik farkındalığın artırılması önemli.
  • Alternatif çözümler: Snowflake'e benzer işlevler sunan başka bulut depolama çözümleri değerlendirilebilir. Örneğin AWS S3 veya Google Cloud Storage.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-01
Hacker News görüşleri
  • Snowflake ile çalışılırken bir SE (çözüm mühendisi) demo ortamı kurmuş ve istemci verilerini kullanmış. Sorun, istemcinin kimlik süresinin dolmasını yönetmemesinden kaynaklanmış gibi görünüyor.
  • Makalenin başlığı ile içeriği birbiriyle uyuşmuyor. Müşteri verilerinin açığa çıkmasıyla ilgili olmayan bir sorun gibi görünüyor ve fiilen etkilenen müşteri sayısı az.
  • Snowflake'ten Felipe, sorunla ilgili en güncel bilgileri paylaşıyor. Güncellemeleri bağlantıdan görebilirsiniz.
  • Sohbet kayıtlarının ekran görüntüsü dikkat çekici. Suçlunun bu şirketle iletişim halinde olduğu ve şirketin yardımıyla ihlalin önlenebildiğini iddia ettiği söyleniyor.
  • Snowflake sisteminin, tek bir yönetici hesabıyla tüm erişime izin verecek şekilde tasarlanmış gibi göründüğü belirtiliyor. Bu da Ticketmaster ve Santander vakalarının inandırıcılığını artırıyor.
  • Snowflake, sorunun müşterinin hatasından kaynaklandığını savunuyor. Araştırma, bunun Snowflake ürünündeki bir güvenlik açığı ya da yanlış yapılandırmadan kaynaklanmadığını vurguluyor.
  • Resmi Snowflake yanıtına göre bu olay, müşteri kullanıcı kimlik bilgilerinin açığa çıkmasıyla ilgili. Sorun Snowflake ürününün kendisinde değil.
  • Ticketmaster ihlalinin, Snowflake çalışanına ait kimlik bilgilerinin çalınması nedeniyle 400'den fazla şirketi etkilediği iddia ediliyor. Hudson Rock'ın güvenilirliği sorgulanıyor.
  • Tehdit aktörünün, bir Snowflake çalışanının ServiceNow hesabını ele geçirerek OKTA'yı aştığı açıklanıyor. ServiceNow'un rolü ve önemi hakkında açıklama isteniyor.
  • Bir Snowflake çalışanının kimlik bilgileri çalınarak müşteri verilerine erişilebilmesi soru işareti yaratıyor. Snowflake'in veri güvenliğine dair beklenti yüksek.