يشرح المتسللون بالتفصيل كيف قاموا بسرقة بيانات Ticketmaster من Snowflake
من المحتمل أن قراصنة ShinyHunter لم يخترقوا عامل EPAM مباشرة، بل تمكنوا ببساطة من الوصول إلى حسابات Snowflake باستخدام أسماء المستخدمين وكلمات المرور التي حصلوا عليها من المستودعات القديمة لبيانات الاعتماد المسروقة من قبل سارقي المعلومات. ولكن، كما يشير ريدنجتون، فإن هذا يعني أنه يمكن لأي شخص آخر التدقيق في تلك المستودعات بحثًا عن هذه البيانات وغيرها من بيانات الاعتماد المسروقة من حسابات EPAM. يقول Reddington إنهم عثروا على بيانات عبر الإنترنت تم استخدامها من قبل تسعة من سارقي المعلومات المختلفين لجمع البيانات من آلات عمال EPAM. وهذا يثير مخاوف محتملة بشأن أمان البيانات الخاصة بعملاء EPAM الآخرين.
لدى EPAM عملاء في مختلف الصناعات الحيوية، بما في ذلك البنوك والخدمات المالية الأخرى، والرعاية الصحية، وشبكات البث، والأدوية، والطاقة والمرافق الأخرى، والتأمين، والبرمجيات والتكنولوجيا الفائقة – ومن بين العملاء الأخيرين Microsoft وGoogle وAdobe وAmazon Web. خدمات. ومع ذلك، ليس من الواضح ما إذا كانت أي من هذه الشركات لديها حسابات Snowflake التي يمكن للعاملين في EPAM الوصول إليها. لم تتمكن WIRED أيضًا من تأكيد ما إذا كانت Ticketmaster أو Santander أو Lending Tree أو Advance AutoParts من عملاء EPAM.
تسلط حملة Snowflake أيضًا الضوء على المخاطر الأمنية المتزايدة من شركات الطرف الثالث بشكل عام ومن سارقي المعلومات. في منشور مدونتها هذا الأسبوع، اقترحت شركة Mandiant أنه تم اختراق العديد من المتعاقدين للوصول إلى حسابات Snowflake، مشيرة إلى أن المقاولين – المعروفين غالبًا باسم شركات الاستعانة بمصادر خارجية للعمليات التجارية (BPO) – هم منجم ذهب محتمل للقراصنة، لأن اختراق آلة يمكن للمقاول الذي لديه حق الوصول إلى حسابات العديد من العملاء منحهم إمكانية الوصول المباشر إلى العديد من حسابات العملاء.
وكتبت شركة Mandiant في منشور مدونتها: “قد يستخدم المقاولون الذين يتعاون معهم العملاء للمساعدة في استخدام Snowflake أجهزة كمبيوتر محمولة شخصية و/أو غير خاضعة للمراقبة مما يؤدي إلى تفاقم ناقل الدخول الأولي هذا”. “إن هذه الأجهزة، التي تُستخدم غالبًا للوصول إلى أنظمة مؤسسات متعددة، تمثل خطرًا كبيرًا. إذا تم اختراقه بواسطة برامج ضارة لسرقة المعلومات، فيمكن لجهاز الكمبيوتر المحمول الخاص بمقاول واحد تسهيل وصول جهة التهديد عبر مؤسسات متعددة، وغالبًا ما يكون ذلك بامتيازات على مستوى تكنولوجيا المعلومات والمسؤول.
وسلطت الشركة الضوء أيضًا على الخطر المتزايد من سارقي المعلومات، مشيرة إلى أن غالبية بيانات الاعتماد التي استخدمها المتسللون في حملة Snowflake جاءت من مستودعات البيانات التي تمت سرقتها سابقًا بواسطة حملات سرقة المعلومات المختلفة، والتي يعود تاريخ بعضها إلى عام 2020. من بيانات اعتماد عميل Snowflake التي تم الكشف عنها عبر سارقي المعلومات منذ عام 2020”.
ويشير مانديانت إلى أن هذا، مصحوبًا بحقيقة أن حسابات Snowflake المستهدفة لم تستخدم أسلوب MFA لمزيد من الحماية لها، جعل الانتهاكات في هذه الحملة ممكنة.
اعترف براد جونز، كبير مسؤولي أمن المعلومات في Snowflake، الأسبوع الماضي بأن الافتقار إلى المصادقة متعددة العوامل مكّن من حدوث الانتهاكات. في مكالمة هاتفية هذا الأسبوع، أخبر جونز WIRED أن Snowflake تعمل على منح عملائها القدرة على تفويض مستخدمي حساباتهم باستخدام مصادقة متعددة العوامل للمضي قدمًا، “وبعد ذلك سنتطلع في المستقبل إلى [make the] يقول: MFA الافتراضي.