Серьезные утечки данных на платформе онлайн-продажи билетов Ticketmaster и потребительском банке Santander, по-видимому, связаны со злоупотреблением незащищенными учетными записями, хранящимися на облачной платформе управления данными Snowflake. Это стало известно за последние несколько дней.
В результате взлома Ticketmaster, подтвержденного в пятницу 31 мая материнской организацией Live Nation, были украдены личные данные более 550 миллионов клиентов, включая имена, адреса, номера телефонов и некоторые данные кредитных карт.
В ходе продолжающегося инцидента в Сантандере были украдены данные клиентов в Испании и Латинской Америке, а также личная информация некоторых предыдущих и всех нынешних сотрудников банка, насчитывающих 200 000 человек по всему миру и около 20 000 в Великобритании.
За оба инцидента взялась группа, известная как ShinyHunters, которая также управляла сайтом BreachForums, который недавно был заблокирован полицией, но, похоже, до сих пор действует безнаказанно. Киберпреступники требуют выкуп в полмиллиона долларов от Ticketmaster и два миллиона долларов от Сантандера.
Хотя ни одна из организаций прямо не назвала Snowflake, фирма подтвердила, что расследует «кампанию целенаправленных угроз» против учетных записей клиентов при содействии CrowdStrike и Mandiant.
В заявлении Snowflake говорится: «Мы не обнаружили доказательств того, что эта активность была вызвана уязвимостью, неправильной настройкой или взломом платформы Snowflake. Мы не обнаружили доказательств того, что эта деятельность была вызвана компрометацией учетных данных нынешних или бывших сотрудников Snowflake.
«Похоже, что это целевая кампания, направленная на пользователей с однофакторной аутентификацией. В рамках этой кампании злоумышленники использовали учетные данные, ранее приобретенные или полученные посредством кражи информации вредоносным ПО».
Личные данные
Он также подтвердил, что обнаружил некоторые доказательства того, что злоумышленник получил личные учетные данные и получил доступ к демонстрационным учетным записям, принадлежащим бывшему сотруднику Snowflake, которые не были защищены его службами Okta или многофакторной аутентификации (MFA), но что эти учетные записи не были защищены. были подключены к ее производственным или корпоративным системам и не содержали никакой конфиденциальной информации.
Snowflake рекомендует своим клиентам немедленно внедрить MFA, установить правила сетевой политики, разрешающие только авторизованным пользователям или трафик из надежных мест, а также сбрасывать и менять свои учетные данные. Дополнительную информацию, включая индикаторы компрометации, можно найти здесь.
Спорные претензии
Судя по показаниям Snowflake, проблемы, по-видимому, были вызваны сбоями в кибербезопасности ее клиентов. Однако его версия событий очень сильно противоречит другой информации, которая стала известна за последние несколько дней, большая часть которой содержится в недавно удаленном блоге, который полностью заархивирован здесь, опубликованном исследователями из Гудзона. Камень.
Основываясь на разговоре с кем-то, назвавшимся инсайдером ShinyHunters, компания Hudson Rock сообщила, что ее исследователям сообщили, что, в отличие от версии Snowflake, злоумышленники на самом деле получили доступ к учетной записи ServiceNow сотрудника Snowflake, используя украденные учетные данные, обходя защиту Okta и генерируя токены сеанса, которые позволили им для кражи данных своих клиентов непосредственно из систем Snowflake.
Злоумышленник поделился информацией, свидетельствующей о том, что по меньшей мере 400 клиентов были скомпрометированы через его доступ, и, судя по всему, предположил, что они ждали вознаграждения от Snowflake, а не от ее клиентов – хотя важно помнить, что никогда не стоит доверять словам злоумышленника. киберпреступников или примите их претензии за чистую монету.
Идентичность вектора
Инциденты в Ticketmaster и Santander, хотя и не являются классическим примером атаки на цепочку поставок (по мнению Snowflake), имеют много общего с другими атаками на цепочку поставок, включая использование компрометации личных данных в качестве вектора доступа.
«В этом году мы стали свидетелями серии нарушений, которые затронули основные сегменты программного обеспечения как услуги. [SaaS] таких поставщиков, как Microsoft, Okta, а теперь и Snowflake», — сказал Гленн Чисхолм, соучредитель и директор по продуктам Obsidian Security.
«Общим для всех этих нарушений является идентичность; злоумышленники не взламывают, они входят в систему», — сказал он. «В мероприятиях по реагированию на инциденты, которые мы наблюдали через таких партнеров, как CrowdStrike, мы видим, что нарушения SaaS часто начинаются с взлома личных данных — фактически, 82% нарушений SaaS происходят из взлома личных данных, таких как целевой фишинг, кража и повторное использование токенов, социальная инженерия службы поддержки и т. д. . Сюда входят как идентификаторы пользователей, так и нечеловеческие идентификаторы (приложения).
«Уроки для пользователей очевидны», — сказал Чисхолм. SaaS — это целенаправленное пространство, в котором происходит множество атак по всему спектру: от злоумышленников национальных государств до финансово мотивированных хакеров, таких как ShinyHunters. Таким образом, каждая компания, использующая продукты SaaS, должна внедрить программу безопасности SaaS или пересмотреть существующие.
«Обеспечите правильное положение приложений, чтобы минимизировать риски, защитить их идентификационные данные, которые образуют периметр ваших SaaS-приложений, и обеспечить безопасность перемещения их данных», — сказал Чисхолм. «Это должна быть непрерывная программа, поскольку ваши приложения развиваются, меняются конфигурации, вводятся идентификационные данные, а злоумышленники меняют свои шаблоны. Другими словами, вам нужна автоматизация, чтобы масштабировать это во всех ваших приложениях SaaS».
Тоби Льюис, руководитель отдела анализа угроз в Darktrace, заявил, что даже если бы ни одна система Snowflake не была скомпрометирована напрямую, поставщик все равно мог бы сделать больше для предотвращения атак на своих клиентов.
«Поставщики облачных услуг должны поощрять более эффективные методы обеспечения безопасности, такие как обязательное MFA, даже без явных требований к ним делать это в рамках модели общей ответственности», — сказал Льюис.
«По сути, это становится отличительным признаком при сравнении различных поставщиков облачных услуг — выберите того, который использует методы безопасности по умолчанию для повышения общей безопасности».
