يبدو أن الخروقات الكبيرة للبيانات في منصة التذاكر عبر الإنترنت Ticketmaster وبنك المستهلك Santander مرتبطة بإساءة استخدام الحسابات غير الآمنة الموجودة في منصة إدارة البيانات السحابية ندفة الثلج، وقد ظهر خلال الأيام القليلة الماضية.
خرق Ticketmaster – تم تأكيده يوم الجمعة 31 مايو بواسطة المنظمة الأم Live Nation – شهدت سرقة التفاصيل الشخصية لأكثر من 550 مليون عميل، بما في ذلك الأسماء والعناوين وأرقام الهواتف وبعض تفاصيل بطاقات الائتمان.
الحادث المستمر في سانتاندر وشهدت سرقة بيانات العملاء في إسبانيا وأمريكا اللاتينية، بالإضافة إلى معلومات شخصية عن بعض الموظفين السابقين والحاليين في البنك، والذين يبلغ عددهم 200 ألف شخص في جميع أنحاء العالم وحوالي 20 ألفًا في المملكة المتحدة.
وقد أعلنت مجموعة تعرف باسم ShinyHunters، والتي تعمل أيضًا، مسؤوليتها عن كلا الحادثين موقع BreachForums الذي أزالته الشرطة مؤخرًا ولكن يبدو أنها لا تزال تعمل مع الإفلات من العقاب. يطالب مجرمو الإنترنت بفدية قدرها نصف مليون دولار من Ticketmaster، ومليوني دولار من Santander.
على الرغم من أن أيًا من المنظمتين لم تذكر اسم Snowflake بشكل صريح، إلا أن الشركة أكدت أنها تحقق في “حملة تهديد مستهدفة” ضد حسابات العملاء، بمساعدة CrowdStrike وMandiant.
وقال سنوفليك في بيان: “لم نحدد أدلة تشير إلى أن هذا النشاط كان بسبب ثغرة أمنية أو خطأ في التكوين أو خرق لمنصة Snowflake. لم نحدد أي دليل يشير إلى أن هذا النشاط كان بسبب أوراق الاعتماد المخترقة لموظفي Snowflake الحاليين أو السابقين.
“يبدو أن هذه حملة مستهدفة موجهة للمستخدمين من خلال المصادقة ذات العامل الواحد. وكجزء من هذه الحملة، استفادت الجهات الفاعلة في مجال التهديد من بيانات الاعتماد التي تم شراؤها مسبقًا أو الحصول عليها من خلال البرامج الضارة لسرقة المعلومات.
أوراق الاعتماد الشخصية
وأكدت بالإضافة إلى ذلك أنها عثرت على بعض الأدلة على أن جهة التهديد قد حصلت على بيانات اعتماد شخصية ووصلت إلى حسابات تجريبية تخص موظفًا سابقًا في Snowflake، والتي لم تكن محمية بموجب نظامها. اوكتا أو خدمات المصادقة متعددة العوامل (MFA)، لكن هذه الحسابات لم تكن مرتبطة بإنتاجها أو أنظمة الشركة ولم تحتوي على أي معلومات حساسة.
توصي Snowflake عملائها بتنفيذ MFA على الفور، ووضع قواعد سياسة الشبكة للسماح فقط للمستخدمين المصرح لهم أو حركة المرور من المواقع الموثوقة، وإعادة تعيين بيانات الاعتماد الخاصة بهم وتدويرها. مزيد من المعلومات، بما في ذلك مؤشرات التسوية (IoCs)، متاح هنا.
المطالبات المتنازع عليها
واستنادًا إلى شهادة Snowflake، يبدو أن سبب هذه المشكلات هو إخفاقات الأمن السيبراني لدى عملائها. ومع ذلك، فإن نسختها من الأحداث هي على خلاف كبير جدا بالإضافة إلى معلومات أخرى ظهرت إلى النور خلال الأيام القليلة الماضية، والكثير منها موجود في مدونة تم حذفها منذ ذلك الحين – والتي تم أرشفتها بالكامل هنا – نشره باحثون في هدسون روك.
بناءً على محادثة مع شخص يدعي أنه أحد المطلعين على ShinyHunters، قالت Hudson Rock إن باحثيها قيل لهم إنه على عكس نسخة Snowflake، فقد تمكن المهاجمون بالفعل من الوصول إلى حساب ServiceNow الخاص بموظف Snowflake باستخدام بيانات الاعتماد المسروقة، وتجاوز حماية Okta وإنشاء رموز الجلسة التي مكنتهم من ذلك. لسرقة بيانات عملائها مباشرة من أنظمة Snowflake.
شارك ممثل التهديد معلومات تشير إلى تعرض ما لا يقل عن 400 عميل للاختراق من خلال وصوله، ويبدو أنه يشير إلى أنهم كانوا يبحثون عن مكافأة من Snowflake بدلاً من عملائها – على الرغم من أنه من المهم أن نتذكر أنه ليس من الحكمة أبدًا الوثوق بكلمة أحد التهديدات. المجرمين السيبرانيين أو أخذ ادعاءاتهم على محمل الجد.
تحديد المتجه
على الرغم من أنه ليس مثالًا كلاسيكيًا لهجوم على سلسلة التوريد – وفقًا لقراءة Snowflake للأحداث – إلا أن الحوادث التي وقعت في Ticketmaster وSantander تحمل الكثير من القواسم المشتركة مع هجمات سلسلة التوريد الأخرى، بما في ذلك استخدام تسويات الهوية كوسيلة للوصول.
“لقد شهدنا هذا العام سلسلة من الانتهاكات التي أثرت على البرامج الرئيسية كخدمة [SaaS] وقال جلين تشيشولم، المؤسس المشارك والرئيس التنفيذي للمنتجات في شركة الأمن السج.
“القاسم المشترك بين هذه الانتهاكات هو الهوية؛ وقال: “المهاجمون لا يقتحمون المكان، بل يقومون بتسجيل الدخول”. “في عمليات الاستجابة للحوادث التي شهدناها من خلال شركاء مثل CrowdStrike، نرى أن خروقات SaaS غالبًا ما تبدأ باختراقات الهوية – في الواقع، 82% من خروقات SaaS تنبع من اختراقات الهوية مثل التصيد الاحتيالي، وسرقة الرموز المميزة وإعادة استخدامها، والهندسة الاجتماعية لمكتب المساعدة، وما إلى ذلك . يتضمن ذلك هويات المستخدم بالإضافة إلى الهويات (التطبيقية) غير البشرية.
وقال تشيشولم إن الدروس المستفادة للمستخدمين واضحة. تعتبر SaaS مساحة مستهدفة للغاية مع حدوث هجمات متعددة عبر الطيف، بدءًا من مهاجمي الدول القومية وحتى المتسللين ذوي الدوافع المالية مثل ShinyHunters. على هذا النحو، تحتاج كل شركة تستخدم منتجات SaaS إلى تنفيذ برنامج أمان SaaS، أو مراجعة برامجها الحالية.
قال تشيشولم: “تأكد من الوضع الصحيح للتطبيق لتقليل المخاطر، وحماية هوياتهم التي تشكل محيط تطبيقات SaaS الخاصة بك، وتأمين حركة البيانات الخاصة بهم”. “يجب أن يكون هذا برنامجًا مستمرًا منذ أن تتطور تطبيقاتك، وتتغير التكوينات، ويتم تقديم الهويات، ويغير المهاجمون أنماطهم. بمعنى آخر، أنت بحاجة إلى التشغيل الآلي لتوسيع نطاق ذلك عبر جميع تطبيقات SaaS الخاصة بك.
توبي لويس، رئيس قسم تحليل التهديدات في Darktraceوقال إنه حتى لو لم يتم اختراق أي من أنظمة Snowflake بشكل مباشر، فلا يزال بإمكان المورد بذل المزيد من الجهد لمنع الهجمات على عملائه.
قال لويس: “يجب على موفري الخدمات السحابية تشجيع ممارسات أمنية أفضل، مثل MFA الإلزامي، حتى بدون متطلبات صريحة عليهم للقيام بذلك بموجب نموذج المسؤولية المشتركة”.
“في جوهر الأمر، يصبح الأمر بمثابة تمييز عند تقييم موفري الخدمات السحابية المختلفين – اختر المزود الذي لديه ممارسات آمنة افتراضيًا لتعزيز الأمان العام.”
