Snowflake Dosyası: Tehdit aktörleri, Hudson Rock’a bilerek yanlış bilgiler vermiş olabilir!

Snowflake Dosyası: Tehdit aktörleri, Hudson Rock’a bilerek yanlış bilgiler vermiş olabilir!

Snowflake veri sızıntısının arkasında yer aldığını iddia eden bir tehdit aktörü, siber tehdit istihbarat şirketi olan Hudson Rock ile bir görüşme gerçekleştirmişti. Gerçekleştirilen görüşmede tehdit aktörleri Ticketmaster’a ek olarak Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive, Santander Bank ve State gibi kuruluşların verilerine de eriştiklerini belirtmiş.

Hudson Rock’un yayından kaldırılan yazısında, hikayenin ilk olarak Rusça konuşulan hack formu olan exploit(.)in’de 24 Mayıs’ta satışa sunulan Santander Bank verisiyle başlamış. Güvenlik araştırmacıları, tehdit aktörü ile iletişime geçip konuşmaya başladıktan sonra tehdit aktörü, tüm ihlallerin tek bir sağlayıcıdan (SnowFlake) kaynaklandığını belirtmiş.

Olayın teknik tarafıyla ilgili olarak, tehdit aktörleri çalıntı kimlik bilgilerini satın alarak yada ele geçirerek bir Snowflake çalışanının ServiceNow hesabında oturum açabildiklerini belirtmiş. Daha sonra ise bu ServiceNow hesabını kullanarak “lift(.)snowflake(.)com” adresinde bulunan OKTA’yı atlatabilmişler.

Tek bir kimlik hesabı bilgisi ile bu kadar büyük veri sızıntısının inandırıcılığı noktasında problem olacağını düşünmüş olmalarından kaynaklı olsa gerek, tehdit aktörleri Snowflake’in Avrupa sunucularıyla ilgili 2000’den fazla müşteri örneğininin yer aldığı csv dosyasını Hudson Rock ile paylaşmış.

Hudson Rock, bu dosyayı analiz ettikten sonra bir Snowflake çalışanının makinasına 5 Ekim 2023’te Lumma tipi bir Infostealer’ın bulaştığını tespit etmiş. Snowflake’in altyapısına ilişkin diğer hassas kimlik bilgilerinin yanı sıra, bu çalışanın giriş bilgileri (adelou) bir belirli bir sunucununda güvenliği ihlal edilmiş.

Tehdit aktörleri, Snowflake’den veriler karşılığında 20 milyon dolar para istemiş. Ancak, şirket bu isteklerine herhangi bir geri dönüş yapmamış.

Hudson Rock’un yazısına “trollenmiş” iddiası

Databreaches.net, Hudson Rock’un yazısıyla ilgili olarak ShinnyHunter ile bir görüşme gerçekleştirmiş. Tehdit aktörü, Hudson Rock ile konuşanın kendisi olmadığını, “lift(.)snowflake(.)com”a erişmede kullanılan ServiceNow hesabıyla ilgili bilgilerin ise dezenformasyon olduğunu dile getirdi.

İkinci olarak ise tehdit aktörü tarafından paylaşılan csv dosyasının, kesinlikle müşteri verileri olmadığını ve bir çalışan dizininden alınan veriler olduğunu belirtti.

ShinnyHunters, tek doğru olan kısmın ise veriler karşılığında Snowflake’den 20 milyon dolar istemeleri olduğunu dile getirmiş.

Bunlar ilginizi çekebilir!

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Avrupa Komisyonu, Romanya'da devam eden seçimler sırasında gizliliği kaldırılmış istihbarat belgelerinin ardından Dijital Hizmetler Yasası kapsamında TikTok'un verileri dondurmasını ve saklamasını emretti. Görevden ayrılan Cumhurbaşkanı Klaus Iohannis tarafından 28 Kasım 2024 tarihli toplantıda alınan karar doğrultusunda gizliliği kaldırılmış istihbarat belgeleri, 5 Aralık Çarşamba günü resmi olarak

By Editor
Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan "karmaşık" bir şifreli mesaşlaşma servisi olan MATRIX, Fransız ve Hollandalı yetkililerin yer aldığı ortak bir soruşturma ekibi tarafından çökertildi. Europol tarafından verilen bilgilere göre MATRIX adı verilen ve suçlular için oluşturulan mesajlaşma servisi, ilk olarak 2021 yılında Hollandalı bir gazetecinin öldürülmesinden hüküm giymiş bir suçlunun

By Editor