Wydaje się, że istotne naruszenia bezpieczeństwa danych na internetowej platformie sprzedaży biletów Ticketmaster i banku konsumenckim Santander są powiązane z nadużywaniem niezabezpieczonych kont prowadzonych na platformie zarządzania danymi w chmurze Płatek śniegupojawiło się w ciągu ostatnich kilku dni.
Naruszenie Ticketmaster – potwierdzono w piątek 31 maja przez organizację macierzystą Live Nation – wykradli dane osobowe ponad 550 milionów klientów, w tym nazwiska, adresy, numery telefonów i niektóre dane kart kredytowych.
Trwający incydent w Santander był świadkiem kradzieży danych klientów w Hiszpanii i Ameryce Łacińskiej, a także danych osobowych niektórych poprzednich i wszystkich obecnych pracowników banku, co stanowi liczbę 200 000 osób na całym świecie i około 20 000 w Wielkiej Brytanii.
Do obu incydentów zgłosiła się grupa znana jako ShinyHunters, która również zarządzała platformą Witryna BreachForums, która została niedawno usunięta przez policję ale wydaje się, że nadal działa bezkarnie. Cyberprzestępcy żądają pół miliona dolarów okupu od Ticketmaster i dwóch milionów dolarów od Santandera.
Chociaż żadna z organizacji nie podała nazwy Snowflake, firma potwierdziła, że z pomocą CrowdStrike i Mandiant bada „kampanię ukierunkowanych zagrożeń” przeciwko kontom klientów.
W oświadczeniuSnowflake powiedział: „Nie znaleźliśmy dowodów sugerujących, że to działanie było spowodowane luką w zabezpieczeniach, błędną konfiguracją lub naruszeniem platformy Snowflake. Nie znaleźliśmy dowodów sugerujących, że działanie to było spowodowane ujawnieniem danych uwierzytelniających obecnego lub byłego personelu Snowflake.
„Wygląda na ukierunkowaną kampanię skierowaną do użytkowników korzystających z uwierzytelniania jednoskładnikowego. W ramach tej kampanii cyberprzestępcy wykorzystali dane uwierzytelniające zakupione wcześniej lub uzyskane w wyniku kradzieży informacji za pomocą złośliwego oprogramowania”.
Dane osobowe
Ponadto potwierdził, że znalazł pewne dowody na to, że ugrupowanie zagrażające uzyskało osobiste dane uwierzytelniające i uzyskało dostęp do kont demo należących do byłego pracownika Snowflake, które nie były chronione przez jego Okta lub usługi uwierzytelniania wieloskładnikowego (MFA), ale konta te nie były połączone z systemami produkcyjnymi ani korporacyjnymi tej spółki i nie zawierały żadnych informacji wrażliwych.
Snowflake zaleca swoim klientom natychmiastowe wdrożenie MFA, ustalenie zasad polityki sieciowej zezwalającej tylko autoryzowanym użytkownikom lub ruch z zaufanych lokalizacji, a także resetowanie i rotację ich danych uwierzytelniających. Więcej informacji, w tym wskaźniki kompromisu, jest dostępny tutaj.
Kwestionowane roszczenia
Na podstawie zeznań firmy Snowflake wydaje się, że problemy były spowodowane błędami w zakresie bezpieczeństwa cybernetycznego u jej klientów. Jednak jego wersja wydarzeń jest bardzo sprzeczne z innymi informacjami, które wyszły na światło dzienne w ciągu ostatnich kilku dni, a większość z nich zawarta została na usuniętym już blogu – który jest tutaj w całości zarchiwizowany – opublikowali naukowcy z Hudson Rock.
Na podstawie rozmowy z osobą podającą się za osobę znającą ShinyHunters firma Hudson Rock stwierdziła, że badaczom powiedziano, że w przeciwieństwie do wersji Snowflake napastnicy w rzeczywistości uzyskali dostęp do konta ServiceNow pracownika Snowflake przy użyciu skradzionych danych uwierzytelniających, omijając zabezpieczenia Okta i generując tokeny sesji, które im to umożliwiły. do kradzieży danych swoich klientów bezpośrednio z systemów Snowflake.
Ugrupowanie zagrażające udostępniło informacje sugerujące, że co najmniej 400 klientów zostało naruszonych w wyniku dostępu do niego i wydawało się, że sugerowało, że oczekiwał zapłaty od firmy Snowflake, a nie od jej klientów – choć należy pamiętać, że nigdy nie jest mądrze ufać słowu specjalisty. cyberprzestępcy lub przyjmować ich roszczenia za dobrą monetę.
Zidentyfikuj wektor
Chociaż nie jest to klasyczny przykład ataku na łańcuch dostaw – według interpretacji wydarzeń Snowflake – incydenty w Ticketmaster i Santander mają wiele wspólnego z innymi atakami na łańcuch dostaw, w tym z wykorzystaniem kompromisów w zakresie tożsamości jako wektora dostępu.
„W tym roku zaobserwowaliśmy serię naruszeń, które wpłynęły na główne oprogramowanie jako usługę [SaaS] dostawców, takich jak Microsoft, Okta, a teraz Snowflake” – powiedział Glenn Chisholm, współzałożyciel i dyrektor ds. produktu Obsydianowe bezpieczeństwo.
„Wspólną cechą tych naruszeń jest tożsamość; napastnicy nie włamują się, oni się logują” – powiedział. „W przypadku działań związanych z reagowaniem na incydenty, które widzieliśmy za pośrednictwem partnerów takich jak CrowdStrike, widzimy naruszenia SaaS często rozpoczynające się od naruszenia tożsamości – w rzeczywistości 82% naruszeń SaaS ma swoje źródło w naruszeniach tożsamości, takich jak phishing typu spear, kradzież i ponowne wykorzystanie tokenów, socjotechnika działu pomocy technicznej itp. . Obejmuje to tożsamości użytkowników, a także tożsamości inne niż ludzkie (aplikacyjne).
Wnioski dla użytkowników są jasne, powiedział Chisholm. SaaS to ściśle ukierunkowana przestrzeń, w której występuje wiele ataków o różnym spektrum, od atakujących na państwa narodowe po hakerów motywowanych finansowo, takich jak ShinyHunters. W związku z tym każda firma korzystająca z produktów SaaS musi wdrożyć program bezpieczeństwa SaaS lub dokonać przeglądu istniejących.
„Zapewnij prawidłową postawę aplikacji, aby zminimalizować ryzyko, chroń ich tożsamość tworzącą obwód aplikacji SaaS i zabezpiecz przepływ danych” – powiedział Chisholm. „To musi być program ciągły, ponieważ aplikacje ewoluują, zmieniają się konfiguracje, wprowadzane są tożsamości, a napastnicy zmieniają swoje wzorce. Innymi słowy, potrzebujesz automatyzacji, aby skalować to we wszystkich aplikacjach SaaS.
Toby Lewis, szef analizy zagrożeń w firmie Ciemny śladstwierdził, że nawet gdyby żaden system Snowflake nie został bezpośrednio naruszony, dostawca mógłby zrobić więcej, aby zapobiec atakom na swoich klientów.
„Dostawcy usług w chmurze powinni zachęcać do lepszych praktyk w zakresie bezpieczeństwa, takich jak obowiązkowa usługa MFA, nawet bez nakładania na nich wyraźnych wymagań w ramach modelu wspólnej odpowiedzialności” – stwierdził Lewis.
„Zasadniczo staje się to wyróżnikiem przy porównywaniu różnych dostawców usług w chmurze – wybierz tego, który stosuje praktyki bezpiecznego użytkowania w celu zwiększenia ogólnego bezpieczeństwa”.