يقول باحثون أمنيون إنهم يعتقدون أن مجرمي الإنترنت ذوي الدوافع المالية قد سرقوا “كمية كبيرة من البيانات” من مئات العملاء الذين يستضيفون بنوك البيانات الضخمة الخاصة بهم مع شركة التخزين السحابي العملاقة Snowflake.
قالت شركة Mandiant للاستجابة للحوادث، والتي تعمل مع Snowflake للتحقيق في الموجة الأخيرة من سرقة البيانات، في تدوينة يوم الاثنين إن الشركتين أخطرتا حوالي 165 عميلاً بأن بياناتهم ربما تكون قد سُرقت.
إنها المرة الأولى التي يتم فيها الكشف عن عدد عملاء Snowflake المتأثرين منذ بدء عمليات اختراق الحساب في أبريل. لم تقل شركة Snowflake الكثير حتى الآن عن الهجمات، ولم تصرح إلا بوجود “عدد محدود” من عملائها المتأثرين. لدى عملاق البيانات السحابية أكثر من 9800 عميل من الشركات، مثل مؤسسات الرعاية الصحية وعمالقة البيع بالتجزئة وبعض من أكبر شركات التكنولوجيا في العالم، والتي تستخدم Snowflake لتحليلات البيانات.
حتى الآن، أكد كل من Ticketmaster وLendingTree فقط سرقة البيانات حيث تمت استضافة بياناتهم المسروقة على Snowflake. يقول العديد من عملاء Snowflake الآخرين إنهم يحققون حاليًا في عمليات سرقة البيانات المحتملة من بيئات Snowflake الخاصة بهم.
وقال مانديانت إن حملة التهديد “مستمرة”، مما يشير إلى أن عدد عملاء شركة Snowflake الذين يبلغون عن سرقة البيانات قد يرتفع.
في منشور مدونتها، أرجعت شركة Mandiant عمليات اختراق الحساب إلى UNC5537، وهي عصابة إجرامية إلكترونية لم يتم تصنيفها بعد والتي تقول الشركة الأمنية إن الدافع وراءها هو كسب المال. تحاول العصابة، التي يقول مانديانت إنها تضم أعضاء في أمريكا الشمالية وعضوًا واحدًا على الأقل في تركيا، ابتزاز ضحاياها لدفع أموال مقابل استعادة ملفاتهم أو لمنع النشر العلني لبيانات عملائهم.
أكدت شركة Mandiant أن الهجمات – التي تعتمد على استخدام “بيانات الاعتماد المسروقة للوصول إلى مثيل Snowflake الخاص بالعميل وفي نهاية المطاف استخراج البيانات القيمة” – تعود إلى 14 أبريل على الأقل، عندما حدد باحثوها لأول مرة أدلة على الوصول غير السليم إلى بيئة عميل Snowflake التي لم يذكر اسمها. . وقالت شركة Mandiant إنها أبلغت Snowflake باختراقات حساب عملائها في 22 مايو.
وقالت الشركة الأمنية إن غالبية بيانات الاعتماد المسروقة التي استخدمها UNC5537 كانت “متاحة من إصابات سرقة المعلومات التاريخية”، ويعود تاريخ بعضها إلى عام 2020. وتؤكد النتائج التي توصلت إليها Mandiant الكشف المحدود لـ Snowflake، والذي قال إنه لم يكن هناك خرق مباشر لأنظمة Snowflake الخاصة. لكنها ألقت باللوم على حسابات عملائها لعدم استخدام المصادقة متعددة العوامل (MFA).
في الأسبوع الماضي، وجدت TechCrunch مئات من بيانات اعتماد عملاء Snowflake متداولة عبر الإنترنت مسروقة بواسطة برامج ضارة أصابت أجهزة الكمبيوتر الخاصة بالموظفين الذين لديهم إمكانية الوصول إلى بيئة Snowflake الخاصة بصاحب العمل. يشير عدد بيانات الاعتماد المتاحة عبر الإنترنت والمرتبطة ببيئات Snowflake إلى وجود خطر مستمر على العملاء الذين لم يغيروا كلمات المرور الخاصة بهم أو يقومون بتمكين MFA بعد.
وقالت Mandiant إنها شهدت أيضًا كشف “المئات من بيانات اعتماد عميل Snowflake عبر سارقي المعلومات”.
من جانبها، لا تطلب Snowflake من عملائها استخدام ميزة الأمان بشكل افتراضي أو فرض استخدامها. وفي تحديث موجز يوم الجمعة، قالت Snowflake إنها “تضع خطة” لفرض استخدام MFA على حسابات عملائها، لكنها لم تقدم جدولًا زمنيًا بعد.
رفضت دانيكا ستانزاك، المتحدثة باسم Snowflake، توضيح سبب عدم قيام الشركة بإعادة تعيين كلمات مرور العملاء أو فرض MFA. ولم يعلق Snowflake على الفور على منشور مدونة Mandiant يوم الاثنين.
هل تعرف المزيد عن عمليات اقتحام حساب Snowflake؟ ابقى على تواصل. للتواصل مع هذا المراسل، تواصل مع Signal وWhatsApp على الرقم +1 646-755-8849، أو عبر البريد الإلكتروني. يمكنك أيضًا إرسال الملفات والمستندات عبر SecureDrop.
اكتشاف المزيد من موقع شعاع للمعلوماتية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.