Snowflake Dosyası: Santander Bank ve Ticketmaster veri ihlallerini onayladı
Bulut depolama hizmeti sunan popüler servislerden biri olan Snowflake, tehdit aktörleri tarafından güvenliği ihlal edilmiş bir çalışan hesabına erişmesi iddiası sonucu bir güvenlik ihlali yaşadı. Tehdit aktörleri bu kapsamda Snowflake’den hizmet alan iki şirket ile ilgili verileri satışa çıkardı ve gözlerin bir anda Snowflake’e çevrilmesine yol açtı.
Daha önce kolluk kuvvetleri tarafından kapatılan ancak daha sonra eski yöneticilerinden (yada mod) biri olan ShinnyHunters tarafından ilk olarak Tor üzerinde .onion uzantılı adres üzerinde popüler hack formu BreachForums’u tekrardan başlatmıştı. Daha sonra ise normal tarayıcılardan tekrardan erişime açılmıştı.
Santander Bank’ın veri ihlali
24 Mayıs’ta ilk olarak “whitewarlock” adlı bir tehdit aktörü, poüler hack formu exploit(.)in’de Santander verilerini satışa çıkardı ve yaklaşık olarakta 2 milyon dolar para talep ediyordu. Bu veri satışından 10 gün önce Santander Bank yaptığı duyuru ile “Yakın zamanda üçüncü taraf bir sağlayıcı tarafından barındırılan Santander veritabanına yetkisiz erişim yapıldığının” farkına vardıklarını duyurmuştu.
ShinnyHunters, 30 Mayıs 2024 tarihinde BreachForums üzerinde daha önce exploit(.)in’de yayınlanan gönderiyi yansıtan Santander Bank gönderisini tekrardan paylaştı. Diğer forumda olduğu gibi bu verileri satın almak isteyen potansiyel alıcılara 2 milyon dolar karşılığında verebileceği belirtildi.
Ticketmaster’ın SEC başvurusu ortaya çıktı
Yine exploit(.)in’de ancak daha farklı bir kullanıcı tarafından Ticketmaster’a ait veriler, 500 bin dolar karşılığında satışa sunuldu.
ShinnyHunters, 28 Mayıs 2024 tarihinde BreachForums üzerinde daha önce exploit(.)in’de yayınlanan gönderiyi yansıtan Ticketmaster gönderisini tekrardan paylaştı. Diğer forumda olduğu gibi bu verileri satın almak isteyen potansiyel alıcılara 500 bin dolar karşılığında verebileceği belirtildi.
Ele geçirilen verilerin örnek bir kısmı, tehdit aktörleri tarafından siber güvenlik dünyasının önemli topluluklarından biri olan Vx-Underground ile paylaşılmış. Gerçekleştirilen analizlere göre en eski verinin 201 yılına kadar uzandığı, en yeni verininde Mart 2024’e kadar uzandığı tespit edilmiş. Artı olarak 2000’li yılların başına ait bazı veri örneklerine de rastlanmış. Bu kapsamda verilerin gerçek olduğu düşünüyorlar.
Ticketmaster’ın ana şirketi Live Nation Entertainment, 20 Mayıs 2024’te yaptığı SEC başvurusunda “üçüncü taraf bulut veritabanı ortamına” yetkisiz erişimi olduğunu açıkladı. Şirket tarafından sağlayıcının ismi verilmezken, daha sonra bunun Snowflake ile ilgili olduğu ortaya çıkmıştı.
Snowflake’ın ihlalle ilgili açıklamaları
Şirket tarafından yapılan açıklamalara genel olarak bakıldığında, platformlarında herhangi bir güvenlik ihlalinden kaynaklı bir veri sızıntısının olmadığını belirtmiş. 2 Haziran’da yapılan açıklamalara göre CrowdStrike ve Mandiant uzmanlarıyla gerçekleştirilen araştırmalardan sonra bir tehdit aktörünün eski bir Snowflake çalışanına ait kişisel kimlik bilgilerini ele geçirdiğine ve ona ait demo hesaplara eriştiğine dair kanıtlar bulduklarını belirtmiş. Bu demo hesaplarında herhangi bir hassas verinin yer almadığı, ürün ve geliştirme ortamlarıyla da bir bağlantısının olmadığını belirtilmiş.
Bu ihlalle ilgili olup-olmadığı konusunda tam olarak emin olmamakla beraber Snowflake, 3 Haziran 2024’te şüpheli olarak tespit edilen 50’nin üzerinde IP adresiyle ilgili soruşturma başlattıklarını açıkladı.
BreachForums üzerinde Snowflake kaynaklı yeni veri sızıntıları ve silinen konular
1 Haziran 2024 tarihinde, QuoteWizard ve LendingTree’den önemli miktarda veri elde ettiğini ve bu verileri de 2 milyon dolar karşılığında satacağını dile getiren yeni bir gönderi paylaşıldı. Forumda konuyla ilgili sorulan sorularda ise Snowflake imasında bulunulmuş. Buradaki diğer bir ayrıntı ise QuoteWizard’ın Snowflake’in müşterileri arasında yer alması diyebiliriz.
5 Haziran 2024’te yine aynı kullanıcı(Sp1d3r) tarafından, Advance Auto Parts ile ilgili veriler satışa çıkarıldı. Bu ihlalinde, Snowflake olayıyla bağlantılı olduğu iddia edildi. Bu şirket daha önce Hudson Rock ile konuşan tehdit aktörü tarafından da dile getirilmişti. 6 Haziran 2024’te ise Santander Bank ile ilgili olan forum gönderisi kaldırıldı.