يقول الخبراء إن افتقار شركة Snowflake إلى سيطرة MFA يترك الشركات عرضة للخطر

Snowflake – أكبر شركة لتخزين البيانات السحابية في العالم من حيث حصتها في السوق – لا تسمح للشركات بفرض المصادقة متعددة العوامل (MFA) للمستخدمين. ويقول الخبراء إن هذا يترك ثغرة أمنية كبيرة يمكن للجهات الفاعلة استغلالها.

مجموعة القراصنة ادعى ShinyHunters لقد استخدمت حسابات مستخدمي Snowflake لارتكاب الخروقات في Ticketmaster وSantander Bank والتي كشفت عن بيانات نصف مليار عميل (وتدعي أن لديها المزيد من البيانات من العديد من الشركات البارزة الأخرى). بينما قال Snowflake إن أنظمته لم تتعرض للخطر ولم تكن الشركة مسؤولة عن الانتهاكات، فقد اعترفوا بأن بيانات اعتماد الموظف السابق تم استخدامها من قبل جهات التهديد.

وعلى عكس بعض المنافسين، تترك Snowflake خيار إضافة مصادقة متعددة العوامل في أيدي المستخدمين الفرديين فقط، وفقًا لمتطلبات الشركة الخاصة. صفحة الأسئلة الشائعة. لا تستطيع الشركات فرض MFA على المستخدمين في بيئة Snowflake ولا يمكنها تمكين MFA للمستخدم. المستخدم هو المسؤول عن التسجيل في MFA.

“يعد المصادقة متعددة العوامل (MFA) عنصرًا حاسمًا في الحماية من سرقة الهوية، وعلى وجه التحديد ضد الهجمات المتعلقة بالسرقة الناجحة لكلمات المرور من خلال التصيد الاحتيالي أو البرامج الضارة (سارقة المعلومات) أو تسرب كلمات المرور المعاد استخدامها من المواقع المخترقة،” كما يقول عوفر ماور، المدير التنفيذي للتكنولوجيا والمؤسس المشارك. في شركة Mitiga للاستجابة للحوادث السحابية وSaaS، في مقابلة عبر البريد الإلكتروني.

لا يوجد MFA “On-Switch” للمسؤولين

يقول ماور: “على الرغم من أن Snowflake يوفر للمستخدمين القدرة على تشغيل MFA، إلا أن هذه ميزة لا يتم تمكينها على المستخدمين افتراضيًا و… ولا يمكن فرضها على المستخدمين بواسطة مسؤول المستأجر”. “وهذا يعني أن Snowflake يترك الأمر لكل مستخدم ليقرر ما إذا كان يريد التسجيل في برنامج MFA أم لا. يؤدي هذا بطبيعة الحال إلى عدم تشغيل العديد من مستخدمي Snowflake لميزة MFA.

ويضيف: “يبدو أن التيار [ShinyHunters] تستفيد الحملة من هذا الضعف وتستهدف المستخدمين الذين لم يتم تشغيل MFA لديهم.

يقول ماور إن الشركات السحابية المتنافسة لتخزين البيانات توفر القدرة على بدء الخدمة بدون MFA، ولكن عادةً أثناء عرض تجريبي أو برنامج “freemium” كخدمة (SaaS). “يسمح معظم موردي SaaS، بمجرد نشرهم كحل مؤسسي، للمسؤولين بفرض MFA… ويطلبون من كل مستخدم التسجيل في MFA عند تسجيل الدخول لأول مرة ويجعلون من غير الممكن للمستخدمين العمل بدونه.”

يقول جون ستيرنشتاين من Stern Security إن Snowflake يسمح للمسؤولين بمعرفة ما إذا كان الموظفون قد قاموا بتمكين MFA – وغالبًا ما تستخدم المؤسسات الكبيرة تسجيل الدخول الموحد (SSO) لاستخدام كلمة مرور الشركة وسياسات MFA.

“من المثير للدهشة أن إدارة الحساب المضمنة في Snowflake لا تتمتع بقدرات أكثر قوة مثل القدرة على فرض MFA… في حين أنه من الغريب أنه لا يمكن فرض MFA على Snowflake، يجب على الشركات أيضًا فهم كيفية استخدام فرقها للتطبيقات و تأكد من أن ذلك يتم بشكل آمن،” كما يقول لمجلة InformationWeek.

العبء على مستوى المستخدم

استغرق ندفة الثلج خلال عطلة نهاية الأسبوع لها مدونة للدفاع عن نفسها بعد أن نشرت شركة الأمن Hudson Rock محادثة مزعومة مع ShinyHunters حيث قال المهاجمون إنهم استخدموا مستخدمي Snowflake حصريًا للوصول إلى البيانات المسروقة. قامت شركة Hudson Rock بحذف مشاركة المدونة بعد تلقيها رسالة من محامي Snowflake، وفقًا لصفحة LinkedIn الخاصة بالشركة.

وبينما يقولون إن نظامهم الأساسي لم يكن مستهدفًا ولم يكن الاختراق نتيجة لأي تكوين خاطئ، يقول بيان Snowflake إن “الحملة المستهدفة” ركزت على الحسابات دون مصادقة متعددة العوامل.

يقول جون بيرونتي، رئيس IP Architects، لموقع InformationWeek أن إمكانيات MFA الخاصة بـ Snowflake تضع العبء على المستخدمين الفرديين. ويقول: “إن الافتقار إلى قدرات الحوكمة للأدوار الإدارية مثل القدرة على تطبيق أسلوب التمويل الأصغر أمر مثير للقلق، في رأيي”. “لست متأكدًا من أن الافتقار إلى القدرة على الحوكمة هو الذي يخلق الضعف. خيار استخدام MFA متاح، والأمر متروك للمستخدم فقط لتمكينه ومواصلة استخدامه.

وقال إن أي منظمة يمكنها أن تجعل من سياستها أن يقوم جميع المستخدمين بإعداد MFA، “لكن لديهم قدرات تنفيذ محدودة دون خيار التنفيذ على المستوى الإداري. وبدلاً من ذلك، سيثقون في مستخدميهم لاتباع السياسة ولكن دون التحقق من اتباعها.

بينما رفض Snowflake التعليق على عدم توفر إنفاذ MFA، أخبر متحدث باسم InformationWeek: “يسمح Snowflake بـ MFA بالإضافة إلى السماح بعناصر تحكم دقيقة أخرى مثل قوائم ACL للشبكة على مستوى المستخدم [access control lists]، مصادقة زوج المفاتيح العامة/الخاصة. كما نسمح للعملاء بالتكامل مع IDP الخاص بهم [identity provider] مثل [Microsoft] أو أوكتا.”

بالنسبة لبعض المتخصصين في مجال الأمن، هذا النهج ليس كافيا.

“يزعم ممثلو التهديد أنهم قاموا بتسجيل الدخول إلى حساب ServiceNow الخاص بأحد موظفي Snowflake باستخدام بيانات اعتماد مسروقة، وبالتالي تجاوز Okta،” كما يقول جون بول كننغهام، كبير مسؤولي أمن المعلومات في Silverfort في رسالة بريد إلكتروني. “هذا يشبه قيام شخص ما بفتح قفل الباب الأمامي الخاص بك ومنحه حق الوصول الكامل إلى كل شيء في منزلك. ومن خلال عدم استخدام المصادقة متعددة العوامل (MFA) في بيئتهم التجريبية، والفشل في تعطيل وصول الموظف السابق، فإن حادثة Snowflake تسلط الضوء على فجوة كبيرة في الهوية لا تزال الشركات تواجهها.

وفقًا لشركة 6sense، لدى Snowflake 14,623 عميلًا وحصة سوقية تبلغ 21.5% في قطاع تخزين البيانات.