تکنولوژی
زنگ بیداری امنیت سایبری: درسهایی از رخنه داده عظیم Snowflake
Snowflake، پلتفرم پیشرو دادههای ابری، اخیراً مرکز توجه به دلیل یکی از مهمترین رخنههای داده در تاریخ اخیر شد. این حادثه پیامدهای بالقوه زیانباری برای کسبوکارها و مصرفکنندگان دارد. مهاجمان با ترکیبی از فیشینگ، بدافزار و ابزارهای سرقت اطلاعات به حسابهای کاربران بدون احراز هویت چندمرحلهای دسترسی پیدا کردند. این رخنه نشان دهنده اهمیت بالای احراز هویت چندمرحلهای و مسئولیت اشتراکی در حفاظت از دادهها است.
Snowflake، یک پلتفرم پیشرو دادههای ابری، اخیراً مرکز توجه به دلیل یکی از مهمترین رخنههای داده در تاریخ اخیر شد. این حادثه پیامدهای بالقوه زیانباری برای کسبوکارها و مصرفکنندگان دارد. این رخنه، هرچند به عنوان بزرگترین رخنه تاریخ تأیید نشده است، اما قطعاً در صنعت فناوری هشدارهایی را برانگیخته است.
در ۲۳ می ۲۰۲۴، Snowflake دسترسی غیرمجاز به برخی حسابهای کاربران را کشف کرد. در ابتدا به نظر بیاهمیت میرسید، اما به زودی گستردگی آن فاش شد. هکرها ادعا داشتند که دادههای مشتریان برجستهای مانند Santander، Ticketmaster، LendingTree و Advance Auto Parts را دسترسی و فروش دادهاند.
یک حساب کاربری در فورومهای رخنه به نام Sp1d3r ادعا داشت که ۳۸۰ میلیون جزئیات مشتری از Advance Auto Parts و دادههای مرتبط با ۱۹۰ میلیون نفر از LendingTree و شرکت تابعه آن QuoteWizard دارد.
TechCrunch گزارش داد که صدها اعتبارنامه مشتری Snowflake به صورت آنلاین در دسترس است که توسط بدافزارهای سرقت اطلاعات قرار گرفته است.
Chris Morgan، تحلیلگر ارشد اطلاعات تهدید سایبری در ReliaQuest، پیشنهادی برای ارتباط بین عامل شناسایی شده، sp1d3r و گروه هک نوجوان Scattered Spider داد.
رشد بدافزارهای سرقت اطلاعات با افزایش کار از راه دور به دلیل بیماری همهگیر COVID-19 همزمان شده است، و هکرها دادههای سرقت شده را برای قیمتهایی که تا ۱۰ دلار به ازای هر دستگاه آلوده میرسد، میفروشند.
رخنه به Snowflake نتیجه یک آسیبپذیری واحد نبود بلکه یک حمله پیچیده چندجانبه بود. Brad Jones، مدیر ارشد امنیت اطلاعات Snowflake، توضیح داد که این رخنه از طریق ترکیبی از فیشینگ، بدافزار و ابزارهای سرقت اطلاعات انجام شده است. مهاجمان از اعتبارنامههای ورود از دستگاههای آلوده استفاده کردند و به طور خاص حسابهایی را هدف قرار دادند که تنها از احراز هویت تکمرحلهای محافظت میشوند.
یک عامل مهم در این رخنه، سیاست Snowflake در خصوص احراز هویت چندمرحلهای (MFA) بود. بر اساس مستندات مشتریان شرکت، Snowflake به طور خودکار MFA را ثبت نمیکند یا مشتریان را ملزم به استفاده از آن نمیکند، بلکه به هر مشتری اجازه میدهد امنیت محیطهای خود را مدیریت کند.
این تصمیم انتقاداتی را به دنبال داشت زیرا بسیاری از حسابها را در معرض حمله قرار میداد.
پیامدهای این سیاست بسیار قابل توجه بود. به عنوان مثال، رخنه داده Ticketmaster بالای ۵۶۰ میلیون رکورد مشتری را شامل میشد که میتواند به عنوان یکی از بزرگترین رخنههای دادهای ایالات متحده در تاریخ اخیر شناخته شود.
حوادث مشابهی با سایر شرکتها نیز رخ داده است. سال گذشته، هکرها به ۶.۹ میلیون رکورد مصرفکننده از حسابهای 23andMe بدون احراز هویت چندمرحلهای دسترسی پیدا کردند. اوایل امسال، Change Healthcare، یک شرکت بزرگ فناوری اطلاعات سلامت متعلق به United Health، به رخنهای دچار شد که سیستم بدون MFA را تحت تأثیر قرار داد.
پیامدهای فوری این رخنه قابل توجه بود. قیمت سهام Snowflake بیش از ۲۰ درصد کاهش یافت از زمانی که این رخنه عمومی شد، نشاندهنده ضررهای مالی و آسیب به شهرت شرکت است.
آژانسهای نظارتی بینالمللی به این موضوع توجه کردند، مرکز امنیت سایبری استرالیا تأیید کرد که چندین کسبوکار با استفاده از Snowflake تحت تأثیر قرار گرفتهاند، و آژانس امنیت سایبری و زیرساخت آمریکا هشدار صادر کرد.
کمیسیون بورس و اوراق بهادار (SEC) و کمیسیون تجارت فدرال (FTC) در ایالات متحده تحقیقات برای تعیین تأثیر رخنه و مطابقت Snowflake با مقررات امنیت سایبری را آغاز کردند.
Snowflake در طول تحقیقات شفافیت خود را حفظ کرده است و با کارشناسان امنیت سایبری از CrowdStrike و Mandiant همکاری داشته است. در اینجا یک جدول زمانی از بهروزرسانیهای کلیدی آورده شده است:
۳۰ می ۲۰۲۴: Snowflake شایعات رخنه در محیط تولید خود را پاسخ داد و تأکید کرد هیچ مدرکی از آسیبپذیریهای پلتفرم یا نادرستیهای اشتباه پیکربندی وجود ندارد. شرکت تأیید کرد که اعتبارنامه ورود شخصی برای حسابهای نمایشی به خطر افتاده است که این حسابها فاقد حفاظت MFA بودند.
۲ ژوئن ۲۰۲۴: یافتههای اولیه، با حمایت Mandiant و CrowdStrike، نشان داد که حادثه ناشی از آسیبپذیریهای پلتفرم Snowflake یا نادرستیهای اشتباه پیکربندی نبوده است. مهاجمان به طور عمده حسابهایی بدون احراز هویت چندمرحلهای را با استفاده از اعتبارنامههای سرقت شده هدف قرار دادند.
۷ ژوئن ۲۰۲۴: تحقیقات بیشتر گزارشهای قبلی را تأیید کرد که رخنه به طور خاص حسابهای با احراز هویت تکمرحلهای را به خطر انداخت. رخنه با استفاده از اعتبارنامههای سرقت شده توسط نرمافزارهای سرقت اطلاعات انجام شد.
۱۰ ژوئن ۲۰۲۴: Mandiant و Snowflake نتایج جامعی از بررسی خود را منتشر کردند. شرکت به همکاری نزدیک با مشتریان تحت تأثیر برای تقویت پروتکلهای امنیتی و تدوین برنامهای برای اجرای قوانین شبکهای سختگیرانه و احراز هویت چندمرحلهای برای جلوگیری از حوادث مشابه در آینده ادامه داد.
تحقیقات نشان داد که پلتفرم اصلی Snowflake هیچ آسیبپذیری یا نادرستی اشتباه پیکربندی نداشت. بلکه، رخنه نتیجه استفاده از اعتبارنامههای سرقت شده بود نه نقص در زیرساخت شرکت.
مهاجمان از بدافزارهای سرقت اطلاعات در یک کمپین هدفمند برای به دست آوردن اعتبارنامههای ورود از دستگاههای آلوده استفاده کردند. این اعتبارنامهها سپس برای دسترسی به حسابهای Snowflake که فاقد احراز هویت چندمرحلهای بودند، استفاده شد.
این حادثه مستقیماً حسابهای نمایشی بدون حفاظت Okta یا MFA را که شامل اطلاعات حساس نبودند و به زیرساخت اصلی Snowflake متصل نبودند، تحت تأثیر قرار داد. اما رخنه به حسابهای مشتری نیز که دارای اقدامات امنیتی مناسب نبودند، گسترش یافت.
در پاسخ به حملات، Snowflake مشتریان خود را به اجرای چندین اقدام امنیتی دعوت کرده است از جمله فعال سازی MFA برای همه حسابها، محدود کردن دسترسی به ترافیک تنها از افراد یا مکانهای مجاز، تغییر اعتبارنامههای ورود Snowflake برای کسبوکارهای تحت تأثیر و استفاده از MFA برای کاهش قابل توجه احتمال رخنههای حساب آنلاین.
Snowflake همچنین به مشتریان خود پیشنهاد کمک داده است، از جمله راهنمایی در خصوص امنیت دادههای خود و نظارت برای هرگونه علائم سوءاستفاده.
رخنه Snowflake آسیبپذیریهای قابل توجهی حتی در پیشرفتهترین پلتفرمهای داده ابری را فاش کرده است.
با این حال، این رخنه درسهای ارزشمندی در مورد نیاز به بهبود مستمر و اهمیت روشهای امنیتی قوی ارائه کرده است. یکی از نکات کلیدی این حادثه اهمیت حیاتی احراز هویت چندمرحلهای است. رخنه عمدتاً حسابهایی بدون MFA را تحت تأثیر قرار داد، که نقش حیاتی آن در امنیت سایبری را برجسته میکند. این حادثه همچنین مفهوم مسئولیت مشترک در حفاظت از دادهها را نشان میدهد.
پیامدهای مالی و اعتباری رخنههای داده نمیتوانند کمتر از این باشند. کاهش قیمت سهام چشمگیر Snowflake اهمیت شدید چنین حوادثی را بر ارزش و شهرت یک شرکت نشان میدهد و به عنوان یک یادآوری از موانع جدی در امنیت دادهها عمل میکند.
واکنش Snowflake، همراه با تخصص پیشرو در صنعت از CrowdStrike و Mandiant، نیز مثال خوبی برای چگونگی مقابله با حملات بزرگ و کاهش تأثیر آنها ارائه میدهد.
رخنه Snowflake به ما یادآوری میکند که در زمینه امنیت سایبری، آرامش و بیخیالی گزینهای نیست. بهبود مستمر، اقدامات پیشگیرانه و یک فرهنگ آگاهی از امنیت برای حفاظت از دادههای حساس در دنیای امروز ضروری هستند.
