ايه تي اند تيفقدت شركة فودافون، إحدى أكبر وأقدم شركات الاتصالات وشبكات الهاتف المحمول في الولايات المتحدة، السيطرة على سجلات الهاتف لجميع عملائها تقريبًا فيما يتعلق بفترة ستة أشهر في عام 2022، وسط سلسلة متواصلة من الخروقات التي تؤثر على عملاء شركة فودافون المتخصصة في البيانات السحابية. ندفة الثلج.
في ملف لدى هيئة الأوراق المالية والبورصة (SEC)، قالت الشركة إنها علمت لأول مرة بالحادث في 19 أبريل 2024، عندما ادعى أحد الجهات الفاعلة التهديدية أنه تمكن من الوصول إلى سجلات مكالماتها ونسخها. قامت بتنشيط عملية الاستجابة للحوادث الإلكترونية في ذلك الوقت استجابةً لذلك.
وفي بيانها إلى لجنة الأوراق المالية والبورصات، قالت شركة AT&T: “بناءً على تحقيقها، تعتقد شركة AT&T أن الجهات الفاعلة المهددة قد دخلت بشكل غير قانوني إلى مساحة عمل AT&T على منصة سحابية تابعة لجهة خارجية، وفي الفترة ما بين 14 أبريل و25 أبريل 2024، قامت باستخراج ملفات تحتوي على سجلات AT&T لمكالمات العملاء والتفاعلات النصية التي حدثت بين 1 مايو و31 أكتوبر 2022 تقريبًا، وكذلك في 2 يناير 2023.
وقالت المنظمة إن “البيانات لا تتضمن محتوى المكالمات أو الرسائل النصية، أو المعلومات الشخصية مثل أرقام الضمان الاجتماعي، أو تواريخ الميلاد، أو أي معلومات شخصية أخرى يمكن التعرف عليها”.
“يشير التحليل الحالي إلى أن البيانات تتضمن، خلال هذه الفترات الزمنية، سجلات المكالمات والرسائل النصية لجميع عملاء AT&T اللاسلكيين وعملاء مشغلي الشبكات الافتراضية المحمولة (MVNOs) تقريبًا الذين يستخدمون شبكة AT&T اللاسلكية. تحدد هذه السجلات أرقام الهواتف التي تفاعل معها رقم لاسلكي لشركة AT&T أو MVNO خلال هذه الفترات، بما في ذلك أرقام هواتف عملاء الخطوط السلكية لشركة AT&T وعملاء شركات الاتصالات الأخرى، وعدد هذه التفاعلات، ومدة المكالمة الإجمالية ليوم أو شهر.
“بالنسبة لمجموعة فرعية من السجلات، يتم أيضًا تضمين رقم أو أكثر من أرقام تعريف موقع الهاتف الخلوي. وفي حين أن البيانات لا تتضمن أسماء العملاء، فهناك غالبًا طرق، باستخدام أدوات متاحة عبر الإنترنت، للعثور على الاسم المرتبط برقم هاتف معين”، وفقًا لما ذكرته الشركة.
يمكن لعملاء شركة الاتصالات معرفة المزيد عن الحادث والخطوات التي يجب عليهم اتخاذها الآن لحماية أنفسهم من احتمالية وقوع هجمات لاحقة، من خلال التنقل عبر الصفحة الرئيسية للدعم. يتم حاليًا الاتصال بالعملاء المتأثرين.
“الخرق ضد ايه تي اند تي “إنها ضخمة ومن المؤكد أنها ستقلق أي عميل تم تسريب بياناته. يجب على العملاء توخي الحذر الشديد والانتباه لأي هجمات تصيد محتملة أو أنواع أخرى من الاحتيال. مع نوع البيانات المسروقة، يمكن أن يكون التصيد عبر الرسائل القصيرة منتشرًا بشكل خاص،” قال رابيد7 المدير الأول لتحليلات التهديدات، كريستيان بيك.
اتصال ندفة الثلج
التحدث إلى TechCrunchوأكدت أنجيلا هوجلي، المتحدثة باسم شركة AT&T، أن الحادث وقع عندما تمكن مجرمون إلكترونيون من الوصول إلى بيئة Snowflake الخاصة بالشركة.
انضمت شركة AT&T الآن إلى قائمة متزايدة – يعتقد أن عددهم يزيد عن 160 – من عملاء Snowflake الذين تم اختراقهم مؤخرًا، على الأرجح من قبل مجموعة إجرامية إلكترونية ذات دوافع مالية تتبعها محققون في Mandiant باسم UNC5537. هذه القائمة هي الأكثر بروزًا تشمل شركات مثل Ticketmaster وSantander.
وقد عزا تحقيق سنوفليك هذه الخروقات إلى افتقار الضحايا إلى النظافة الأمنية ــ فقد وجد المحللون أدلة على وجود برامج خبيثة لسرقة المعلومات تم إخفاؤها في أنظمة مقاولين تابعين لجهات خارجية تستخدم للوصول إلى أنظمة تكنولوجيا المعلومات الخاصة بالشركات المخترقة. ولم تتطرق شركة AT&T إلى هذه النقطة أو تقدم أي معلومات حول ما إذا كان هذا هو الحال في الحادث الذي تعرضت له أم لا.
قال بيك من Rapid7: “إن المنظمة لا تكون آمنة إلا بقدر أضعف شبكاتها الخارجية، ولا تكون بروتوكولات الأمان فعالة إلا إذا كان جميع مقدمي الخدمات الخارجيين آمنين بنفس القدر”.
“إن مجرمو الإنترنت يدركون هذا الأمر ويحاولون اختراق الحلقة الأضعف في السلسلة للوصول إلى الأنظمة وسرقة البيانات شديدة الحساسية. والكم الهائل من المعلومات الشخصية المخزنة يعني أنه من الأهمية بمكان تأمين سلاسل التوريد.”
وأضاف بيك: “لحماية سلاسل التوريد، يجب على المنظمات الحفاظ على مستوى جيد من النظافة الإلكترونية، بما في ذلك إنفاذ المصادقة متعددة العوامل (MFA). بالإضافة إلى ذلك، تعد أجهزة محيط الشبكة أهدافًا أساسية للمهاجمين؛ وبالتالي، يجب معالجة الثغرات الحرجة في هذه التقنيات على الفور.
الارتباك يسود
ومع ذلك، كان هناك ارتباك بشأن الطبيعة الدقيقة للاختراقات المتعلقة بـ Snowflake بفضل مجموعة تُعرف باسم ShinyHunters – وهي أيضًا مشغلة تم تعطيل BreachForums مؤخرًا خدمة تسريب البيانات – والتي ادعت مرارا وتكرارا أنها كانت وراء الحوادث وأنها اخترقت أنظمة Snowflake.
في منتصف شهر يونيو، ادعى ممثل مجموعة ShinyHunters عبر مقابلة مع Wired أنها تمكنت من الوصول إلى عملاء Snowflake من خلال خرق شركة EPAM التي تتخذ من بيلاروسيا مقراً لها. وكما هو الحال في جميع الحالات التي يتحدث فيها الجهات الفاعلة المهددة علناً، فيجب التعامل مع هذه الادعاءات بقدر كبير من الشك، وقد قامت شركة EPAM نفسها دحض ادعاءات ShinyHunters، قائلا أنه كان مستهدف في حملة تضليل.
ومن المرجح أن تتضح الطبيعة الحقيقية للحوادث الجارية في المستقبل فقط، بعد إجراء تحقيقات متعددة ومتوازية.
MFA بشكل افتراضي
في وقت سابق من هذا الأسبوع، قامت Snowflake بإجراء تغيير رئيسي في السياسة مصمم لمساعدة العملاء على الحفاظ على أمان بيئاتهم عندما عززت عرض MFA الخاص بها.
تعتمد السياسات المحسنة على ثلاثة ركائز: المطالبة بتشجيع المستخدمين على اعتماد المصادقة الثنائية (MFA)؛ والتنفيذ (بحيث يسمح للمسؤولين بتمكين المصادقة الثنائية (MFA) بشكل افتراضي؛ والمراقبة (بحيث يتحققوا من المستخدمين الذين لم يقوموا بإعداد المصادقة الثنائية (MFA)).
في المستقبل، سيُطلب من مستخدمي Snowflake الفرديين تمكين المصادقة الثنائية وإرشادهم خلال العملية. وبينما سيكونون قادرين على رفض هذه المطالبة، فإنها ستظهر مرة أخرى بعد 72 ساعة إذا لم يتم اتخاذ أي إجراء.
وفي الوقت نفسه، سيتمكن المسؤولون من الاستفادة من خيار جديد يتطلب MFA لجميع المستخدمين في الحساب، ويمكن تطبيق نطاقه على المستخدمين المحليين فقط، أو ليشمل مستخدمي تسجيل الدخول الفردي أيضًا.
أخيرًا، قامت Snowflake بتوفير حزمة مسح للبحث عن التوافق مع MFA وسياسة الشبكة بشكل افتراضي ومجاني في جميع الإصدارات.
جواد مالك، المدافع الرئيسي عن الوعي الأمني في اعرف 4قال: “من الجيد أن نسمع أن Snowflake تقوم بتمكين MFA افتراضيًا. من منظور حماية الحساب، ربما تكون MFA واحدة من أكثر أدوات التحكم فعالية التي يجب وضعها في الاعتبار. نظرًا لجميع الهجمات ضد الحسابات، بما في ذلك حشو بيانات الاعتماد – يجب على المزيد من المؤسسات تمكين MFA افتراضيًا.”
