У червні 2024 року стало відомо про серйозний витік даних, пов’язаний із Snowflake, провідним постачальником хмарних систем зберігання даних і аналітики. Цей інцидент торкнувся багатьох відомих компаній і мільйонів людей, викликавши занепокоєння щодо безпеки даних у хмарних середовищах. Порушення Snowflake підкреслює важливість розширення та вдосконалення рішень безпеки даних у хмарних середовищах, таких як впровадження надійних заходів безпеки, регулярне оновлення облікових даних і підтримання пильного моніторингу хмарних систем. У цій статті детально розглядається порушення Snowflake, його вплив і отримані уроки.
Що таке порушення Сніжинки
Порушення даних Snowflake являло собою серію цілеспрямованих атак на численні екземпляри клієнтів Snowflake. Фірма з кібербезпеки, яка разом із Snowflake розслідувала інцидент, виявила фінансово вмотивовану групу загроз, чиядії відстежуються як UNC5537.
Що таке UNC5537
UNC5537 — це те, як Mandiant відстежує зловмисну активність, пов’язану з однією групою учасників загрози, націленою на клієнтів бази даних Snowflake. Ці кіберзлочинці спеціалізуються на крадіжці конфіденційних даних від організацій, які використовують хмарну платформу сховищ даних Snowflake. Їх основний метод передбачаєвикористання скомпрометованих облікових данихотримано від шкідливого програмного забезпечення infostealer.Кампанія UNC5537 становить значну загрозудля організацій, які покладаються на Snowflake для зберігання та керування даними. Їхня здатність використовувати скомпрометовані облікові дані та обходити MFA підкреслює критичну важливість надійних заходів безпеки, включаючи надійну гігієну паролів, впровадження MFA та постійний моніторинг підозрілої активності.
Як стався прорив Сніжинки?
UNC5537 отримував доступ до екземплярів клієнтів Snowflake, використовуючи вкрадені облікові дані та облікові записи без багатофакторної автентифікації (MFA). Ці облікові дані були в основному отримані через різні кампанії зловмисного програмного забезпечення, які заражали системи, що не належать Snowflake. Деякі з викрадених облікових даних датуються 2020 роком, що підкреслює довгострокові ризики зламаної інформації для входу. Три основні чинники призвели до багатьох успішних компрометацій:
- Відсутність багатофакторної автентифікації (MFA) на постраждалих облікових записах
- Використання застарілих облікових даних, які були вкрадені багато років тому
- Відсутність мережі дозволяє спискам обмежувати доступ до надійних місць
Потрапивши в базу даних Snowflake, UNC5537 використовує спеціальний інструмент під назвою «rapeflake» для проведення розвідки та потенційного використання вразливостей. Потім вони вилучають великі обсяги даних за допомогою серії команд SQL. Після викрадення даних зловмисники вчиняють вимагання, вимагаючи від своїх жертв викуп. Крім того, вони часто продають викрадені дані на форумах кіберзлочинців з метою отримання прибутку.
Справа Snowflake стала загальновідомою, оскільки від неї постраждали кілька компаній, у тому числіПорушення даних Ticketmaster, одне з найзначніших порушень у 2024 році.Відмова від відповідальності:Важливо зазначити, що відповідні порушення не були підтверджені на момент публікації цієї статті.
Квитковий майстер
Live Nation, материнська компанія Ticketmaster, підтвердиланесанкціонований доступ до стороннього хмарного середовища баз данихмістить переважно дані Ticketmaster. Порушення потенційно вплинуло на 560 мільйонів клієнтів.
Банк Сантандер
Santander оголосив про несанкціонований доступ до бази даних, розміщеної стороннім провайдером, що торкнулося приблизно 30 мільйонів клієнтів.
AT&T
AT&Tоголосила, що записи дзвінків і текстових повідомлень майже всіх клієнтів стільникового зв’язку з 1 травня 2022 року по 31 жовтня 2022 року та 2 січня 2023 року були зламані. Це порушення торкнулося близько 110 мільйонів клієнтів.
Передові автозапчастини
Передові автозапчастиниповідомила, що з 14 квітня по 24 травня 2024 року в результаті несанкціонованого доступу до середовища Snowflake була розкрита особиста інформація понад 2,3 мільйона людей.
Відповідь Сніжинки
Snowflake стверджує, що інциденти стали результатом зламаних облікових даних користувача, а не будь-яких властивих уразливостей або недоліків у самому продукті Snowflake. Компанія працювала з постраждалими клієнтами та надала детальні вказівки щодо виявлення та зміцнення.
Детальніше:Витік даних Facebook: як дізнатися, чи постраждали ви
Здобуті уроки та найкращі практики кібербезпеки
Після кожного порушення даних витягуються нові уроки. Однак старі людські помилки зберігаються, що збільшує шанси зловмисників на успіх у своїх пошуках. Злам Snowflake вчить нас важливості застосування кількох основних рішень кібербезпеки. Щоб покращити безпеку своїх даних, користувачі та компанії можуть використовувати такі рішення.
Увімкнути багатофакторну автентифікацію (MFA)
Однією з точок входу під час злому були слабкі облікові дані без методу MFA. Впровадження MFA додає рівень безпеки, що ускладнює несанкціонований доступ, оскільки власник облікового запису має авторизувати будь-який новий доступ.
Регулярна ротація облікових даних
Старі облікові дані полегшували доступ кіберзлочинців до облікових записів користувачів, що призвело до витоку даних. Щоб запобігти цьому, регулярно оновлюйте та змінюйте облікові дані, особливо для облікових записів із розширеними дозволами.
Відстежуйте підозрілу активність
Переглядайте журнали для виконаних запитів, особливо тих, які включають зовнішній доступ до даних або потенційно розкривають конфіденційну інформацію.
Застосуйте політику нульової довіри
Щоб запобігти несанкціонованому доступу у вашій мережі, ви можете переконатися, що кожна особа вашого персоналу має доступ лише до інформації, необхідної для виконання своїх щоденних завдань.
