مشکلات امنیتی Snowflake به دنبال سیل اخیر دزدی داده‌های مشتریان، برای یک کلمه بهتر، گلوله برفی است.

پس از اینکه Ticketmaster اولین شرکتی بود که نقض اطلاعات اخیر خود را به شرکت داده های ابری Snowflake مرتبط کرد، سایت مقایسه وام LendingTree اکنون تایید کرده است که شرکت تابعه QuoteWizard اطلاعات از Snowflake به سرقت رفته است.

مگان گرولینگ، سخنگوی LendingTree، به TechCrunch گفت: «ما می توانیم تأیید کنیم که از Snowflake برای عملیات تجاری خود استفاده می کنیم و آنها به ما اطلاع داده اند که شرکت تابعه ما، QuoteWizard، ممکن است داده ها را تحت تأثیر این حادثه قرار داده باشد.

گرولینگ گفت: «ما این مسائل را جدی می‌گیریم و بلافاصله پس از شنیدن [اسنو فلیک] تحقیقات داخلی را آغاز کردیم». از این زمان، به نظر نمی رسد که اطلاعات حساب مالی مصرف کننده و همچنین اطلاعات نهاد مادر، LendingTree، تحت تأثیر قرار نگرفته باشد.

گرولینگ با استناد به تحقیقات در حال انجام این شرکت از اظهار نظر بیشتر خودداری کرد.

همانطور که مشتریان آسیب دیده بیشتر مطرح می شوند، Snowflake چیزی فراتر از یک بیانیه کوتاه در وب سایت خود گفته است و تکرار می کند که نقض داده در سیستم های خود وجود نداشته است. در عوض، او میگوید مشتریان از احراز هویت چند عاملی یا MFA استفاده نمی‌کردند - یک اقدام امنیتی که Snowflake آن را اعمال نمی‌کند یا مشتریانش را ملزم به فعال کردن آن به‌طور پیش‌فرض نمی‌کند. Snowflake خودش گرفتار این حادثه شد و بيان کرد که حساب کاربری "دمو" یک کارمند سابق به خطر افتاده است زیرا فقط با نام کاربری و رمز عبور محافظت می شود.

در بیانیه ای که روز جمعه منتشر شد، Snowflake بيان کرد که موضع آن "بدون تغییر باقی می ماند." به بیانیه قبلی اشاره کرد که در آن برد جونز، افسر ارشد امنیت اطلاعات Snowflake بيان کرد این یک "کمپین هدفمند برای کاربران با احراز هویت تک عاملی" و با استفاده از اعتبارنامه های سرقت شده از بدافزارهای سرقت اطلاعات یا به دست آمده از نقض داده های قبلی است.

فقدان MFA به نظر می رسد که چگونه مجرمان سایبری حجم عظیمی از داده ها را از محیط های مشتریان Snowflake دانلود کرده اند، که توسط لایه امنیتی اضافی محافظت نشده است.

TechCrunch در اوایل این هفته صدها اعتبار مشتری Snowflake را به صورت آنلاین پیدا کرد که توسط بدافزار سرقت رمز عبور دزدیده شده بودند که رایانه های کارمندانی را که به محیط Snowflake کارفرمای خود دسترسی دارند آلوده کرده بودند. تعداد اعتبارنامه ها نشان می دهد که خطری برای مشتریان Snowflake وجود دارد که هنوز رمز عبور خود را تغییر نداده اند یا MFA را فعال نکرده اند.

در طول هفته، TechCrunch بیش از دوجین سوال را برای Snowflake در مورد حادثه جاری که مشتریانش را تحت تاثیر قرار می دهد، ارسال کرده است، همانطور که ما به گزارش داستان ادامه می دهیم. Snowflake حداقل در شش مورد از پاسخ دادن به سؤالات ما خودداری کرد.

اینها برخی از سوالاتی است که ما می پرسیم و چرا.

هنوز مشخص نیست که چه تعداد از مشتریان Snowflake تحت تأثیر قرار گرفته اند یا اینکه Snowflake هنوز می داند.

Snowflake بيان کرد تا به امروز به «تعداد محدودی از مشتریان Snowflake» اطلاع داده است که این شرکت معتقد است ممکن است تحت تأثیر قرار گرفته باشند. Snowflake در وب سایت خود می گوید که بیش از 9800 مشتری از جمله شرکت های فناوری، مخابرات و ارائه دهندگان مراقبت های بهداشتی دارد.

دانیکا استانچاک، سخنگوی Snowflake از بیان اینکه آیا تعداد مشتریان آسیب دیده ده ها، ده ها، صدها یا بیشتر است، خودداری کرد.

این احتمال وجود دارد که با وجود تعداد انگشت شماری از تخلفات مشتری گزارش شده در این هفته، ما تنها در روزهای اولیه درک مقیاس این حادثه هستیم.

ممکن است حتی برای Snowflake مشخص نباشد که چه تعداد از مشتریانش هنوز تحت تأثیر قرار گرفته‌اند، زیرا این شرکت یا باید به داده‌های خود مانند گزارش‌ها تکیه کند یا مستقیماً از مشتری آسیب‌دیده مطلع شود.

مشخص نیست که Snowflake چقدر زود می توانست از نفوذ به حساب های مشتریان خود مطلع شود. بیانیه Snowflake بيان کرد که در 23 می از "فعالیت تهدید" - دسترسی به حساب های مشتری و دانلود محتویات آنها - آگاه شد، اما متعاقبا شواهدی از نفوذ پیدا کرد که به یک بازه زمانی مشخص تر از اواسط آوریل برمی گردد، که نشان می دهد شرکت. داده هایی برای تکیه کردن دارد.

اما این همچنین این سوال را باز می‌گذارد که چرا Snowflake در آن زمان تا اواخر ماه مه، خروج مقادیر زیادی از داده‌های مشتریان را از سرورهای خود شناسایی نکرد، یا اگر این کار را انجام داد، چرا Snowflake زودتر به طور عمومی به مشتریان خود هشدار نداد.

شرکت پاسخگویی به حوادث Mandiant که Snowflake آن را برای کمک به مشتریان خود فراخواند، در پایان ماه مه به Bleeping Computer بيان کرد که این شرکت قبلاً به سازمان‌های آسیب دیده برای «چند هفته» کمک کرده است.

ما هنوز نمی دانیم در حساب آزمایشی کارمند سابق Snowflake چه چیزی وجود داشت، یا اینکه آیا مربوط به نقض اطلاعات مشتری است.

یک خط کلیدی از بیانیه Snowflake او میگوید : «ما شواهدی پیدا کردیم مبنی بر اینکه یک عامل تهدید، اعتبار شخصی را برای حساب‌های نمایشی متعلق به یکی از کارمندان سابق Snowflake به دست آورده و به آن دسترسی داشته است. حاوی اطلاعات حساسی نبود.»

بر اساس تحلیل TechCrunch، برخی از اعتبارنامه های مشتری دزدیده شده مرتبط با بدافزار سرقت اطلاعات شامل مواردی است که متعلق به یک کارمند آن زمان Snowflake است.

همانطور که قبلاً اشاره کردیم، TechCrunch نامی از کارمند نمی‌برد زیرا مشخص نیست که آنها کار اشتباهی انجام داده‌اند. این واقعیت که Snowflake به دلیل عدم اجرای MFA خودش که به مجرمان سایبری اجازه می‌دهد داده‌ها را از حساب «دمو» یک کارمند آن زمان تنها با استفاده از نام کاربری و رمز عبور خود دانلود کنند، یک مشکل اساسی در مدل امنیتی Snowflake را برجسته می‌کند.

اما هنوز مشخص نیست که این حساب آزمایشی چه نقشی در سرقت اطلاعات مشتری دارد، زیرا هنوز مشخص نیست چه داده‌هایی در آن ذخیره شده است یا اینکه آیا حاوی داده‌هایی از سایر مشتریان Snowflake است.

Snowflake از بیان این که اگر وجود داشته باشد، اکانت نمایشی کارمند Snowflake چه نقشی در نقض اخیر مشتری دارد، خودداری کرد. Snowflake تکرار کرد که اکانت دمو «حاوی داده‌های حساس نیست»، اما مکرراً از بیان اینکه این شرکت چه چیزی را «داده‌های حساس» تعریف می‌کند، خودداری کرد.

ما پرسیدیم که آیا Snowflake معتقد است که اطلاعات شناسایی شخصی افراد، داده‌های حساسی هستند؟ Snowflake از اظهار نظر خودداری کرد.

مشخص نیست که چرا Snowflake بطور فعال گذرواژه‌ها را بازنشانی نکرده است، یا استفاده از MFA را در حساب‌های مشتریان خود الزامی نکرده است.

برای شرکت‌ها غیرعادی نیست که پس از نقض اطلاعات، رمز عبور مشتریان خود را به اجبار بازنشانی کنند. اما اگر از Snowflake بپرسید، هیچ تخلفی رخ نداده است. و در حالی که این ممکن است به این معنا درست باشد که هیچ سازش آشکاری در مورد زیرساخت مرکزی آن وجود نداشته است، مشتریان Snowflake بسیار در معرض نقض هستند.

توصیه Snowflake به مشتریان خود این است که اعتبارنامه Snowflake را بازنشانی کرده و بچرخانند و MFA را در همه حساب ها اعمال کنند. Snowflake قبلاً به TechCrunch گفته بود که مشتریانش به خاطر امنیت خود در قلاب هستند: "بر اساس مدل مسئولیت مشترک Snowflake، مشتریان مسئول اجرای MFA با کاربران خود هستند."

اما از آنجایی که این سرقت‌های اطلاعات مشتریان Snowflake به استفاده از نام‌های کاربری و گذرواژه‌های دزدیده شده حساب‌هایی مرتبط است که توسط MFA محافظت نمی‌شوند، غیرعادی است که Snowflake از طرف مشتریان خود برای محافظت از حساب‌هایشان با بازنشانی رمز عبور یا MFA اجباری مداخله نکرده است.

بی سابقه نیست سال گذشته، مجرمان سایبری 6.9 میلیون کاربر و سوابق ژنتیکی را از حساب‌های 23andMe که توسط MFA محافظت نشده بودند، حذف کردند. 23andMe پسوردهای کاربر را بدون احتیاط بازنشانی می کند تا از حملات خراش بیشتر جلوگیری کند و متعاقباً نیاز به استفاده از MFA در تمام حساب های کاربران خود دارد.

ما از Snowflake پرسیدیم که آیا این شرکت قصد دارد رمزهای عبور حساب های مشتریان خود را بازنشانی کند تا از هرگونه نفوذ احتمالی بیشتر جلوگیری کند. Snowflake از اظهار نظر خودداری کرد.

به گزارش سایت خبری فناوری Runtime، به نقل از مدیر عامل Snowflake، Sridhar Ramaswamy در مصاحبه ای که این هفته انجام داد، به نظر می رسد Snowflake به طور پیش فرض به سمت گسترش MFA حرکت می کند. این موضوع بعداً توسط Snowflake's CISO Jones در به‌روزرسانی جمعه تأیید شد.

جونز گفت: «ما همچنین در حال توسعه طرحی هستیم تا مشتریان خود را ملزم به اجرای کنترل‌های امنیتی پیشرفته، مانند احراز هویت چند عاملی (MFA) یا سیاست‌های شبکه، به‌ویژه برای حساب‌های مشتریان ممتاز Snowflake کنیم».

چارچوب زمانی برای این طرح ارائه نشده است.

آیا در مورد نفوذ حساب Snowflake اطلاعات بیشتری دارید؟ در تماس باشید. برای ارتباط با این خبرنگار با سیگنال و واتس اپ با شماره 8849-755-646 +1 یا از طریق ایمیل در تماس باشید. همچنین می توانید فایل ها و اسناد را از طریق SecureDrop ارسال کنید.

خبرکاو