Czyste przechowywanie wystąpiła jako ostatnia znana ofiara szybko rozprzestrzeniającego się naruszenia danych uwierzytelniających płatka śniegu, dołączając do listy ponad 150 organizacji, których dane zostały skradzione przez gang cyberprzestępczy po tym, jak ich instancje Snowflake zostały naruszone.
Specjalista ds. przechowywania danych stwierdził, że potwierdził i zaradził incydentowi bezpieczeństwa polegającemu na nieautoryzowanym dostępie do pojedynczego obszaru roboczego analizy danych Snowflake. Ten obszar roboczy zawierał informacje telemetryczne używane przez zespoły obsługi klienta Pure i zawierał nazwy firm, nazwy użytkowników LDAP, adresy e-mail i numery wersji oprogramowania Purity.
Firma Pure próbowała zapewnić klientów, że bardziej wrażliwe informacje, takie jak hasła dostępu do macierzy lub jakiekolwiek dane przechowywane w systemach klienta, nie stanowią części żadnych informacji telemetrycznych i nie mogą być przekazywane poza samą macierz pamięci masowej. Twierdzono, że informacji telemetrycznych nie można również wykorzystać do uzyskania dostępu do systemów klientów.
„Pure Storage natychmiast podjęło działania, aby zablokować dalszy nieautoryzowany dostęp do przestrzeni roboczej. Dodatkowo nie widzimy żadnych dowodów na niezwykłą aktywność na innych elementach infrastruktury Pure” – stwierdziła firma w oświadczeniu.
„Pure monitoruje systemy naszych klientów i nie znalazło żadnej niezwykłej aktywności. Jesteśmy obecnie w kontakcie z klientami, którzy podobnie nie wykryli nietypowej aktywności skierowanej przeciwko ich systemom Pure.
„Wstępne ustalenia zaangażowanej przez nas wiodącej firmy zajmującej się bezpieczeństwem cybernetycznym również potwierdzają wniosek, do którego doszliśmy w odniesieniu do informacji w obszarze roboczym. Pure Storage pozostaje w pełni zaangażowana w dostarczanie naszym klientom terminowych i przejrzystych aktualizacji, będziemy nadal monitorować tę sytuację i korzystać z tego forum w celu przekazywania ważnych aktualizacji.
Ujawnienie Pure nastąpiło zaledwie po kilku godzinach po opublikowaniu przez Mandianta nowych informacji w sprawie zakresu incydentu Snowflake, który przypisano ugrupowaniu zagrażającemu zidentyfikowanemu jako UNC5537, składającemu się prawdopodobnie z hakerów działających głównie w Ameryce Północnej.
Obecnie podejrzewa się, że UNC5537 przeprowadził masową kampanię włamań do klientów Snowflake przy użyciu skradzionych danych uwierzytelniających, uzyskanych głównie w wyniku wykorzystania złośliwego oprogramowania kradnącego informacje.
Mandiant powiedział, że we wszystkich znanych mu atakach UNC5537 zdołał zdobyć dane, ponieważ klienci Snowflake zaniedbali podstawowe zasady higieny uwierzytelniania, takie jak stosowanie uwierzytelniania wieloskładnikowego (MFA). Jak stwierdziło, w wielu przypadkach ofiarom nie udało się również w odpowiednim czasie zmienić lub zaktualizować danych uwierzytelniających, a w innych przypadkach naruszyli bezpieczeństwo zewnętrzni wykonawcy, którym pozwolono łączyć się z ich systemami przy użyciu ich własnych komputerów.
W chwili pisania tego tekstu firma Pure Storage nie odniosła się do tej kwestii.
Brak MFA nie jest już opcją
Chester Wiśniewski, dyrektor i globalny CTO terenowy w firmie Sofoswyraził frustrację w związku z faktem, że podstawowe środki bezpieczeństwa danych uwierzytelniających są w dalszym ciągu powszechnie zaniedbywane, choć konsekwencje są tak dobrze znane.
„Tak jak nie można kupić samochodu bez pasów bezpieczeństwa, tak wdrożenie MFA nie może być już opcjonalne. Naruszone dane uwierzytelniające w dalszym ciągu są jednym z najpowszechniejszych sposobów włamywania się do systemów przez osoby atakujące, co potwierdzają ustalenia terenowe. Najnowsza wersja Sophosa Raport aktywnego przeciwnika ustaliło, że naruszone dane uwierzytelniające były główną przyczyną ataków w 2023 r. i jedną trzecią wszystkich ataków od 2020 r.” – powiedział Wiśniewski.
„Zapewnienie wdrożenia usługi MFA na wszystkich kontach zawierających wrażliwe i ważne dane wymaga wspólnego wysiłku firm i ich dostawców usług. Firmy powinny wdrożyć dla swoich pracowników rygorystyczne programy higieny cyberbezpieczeństwa, natomiast dostawcy usług muszą egzekwować zasady, które namawiają organizacje do wdrażania MFA podczas korzystania z ich produktów.
Dodał: „Jednym z sześciu kluczowych obszarów zainteresowania dostawców oprogramowania podpisujących niedawną deklarację CISA Secure by Design była poprawa wykorzystania MFA wśród ich klientów. Jest to cel, w który Sophos mocno wierzy i był to jeden z powodów podpisaliśmy przysięgę. Zachęcamy innych dostawców oprogramowania, aby zrobili to samo.”