أخبار العالم

ترتبط المئات من كلمات مرور عملاء Snowflake الموجودة على الإنترنت ببرامج ضارة لسرقة المعلومات


تقع شركة تحليل البيانات السحابية Snowflake في قلب موجة حديثة من سرقات البيانات المزعومة، حيث يتدافع عملاؤها من الشركات لفهم ما إذا كانت مخازن البيانات السحابية الخاصة بهم قد تعرضت للخطر.

تساعد شركة البيانات العملاقة التي يقع مقرها في بوسطن بعضًا من أكبر الشركات العالمية – بما في ذلك البنوك ومقدمي الرعاية الصحية وشركات التكنولوجيا – على تخزين وتحليل كميات هائلة من البيانات، مثل بيانات العملاء، في السحابة.

وفي الأسبوع الماضي، دقت السلطات الأسترالية ناقوس الخطر قائلة إنها أصبحت على علم “بالتسويات الناجحة للعديد من الشركات التي تستخدم بيئات Snowflake”، دون تسمية الشركات. ادعى المتسللون في منتدى معروف للجرائم الإلكترونية أنهم سرقوا مئات الملايين من سجلات العملاء من بنك Santander وTicketmaster، وهما من أكبر عملاء Snowflake. وأكد سانتاندر حدوث خرق لقاعدة البيانات “التي يستضيفها مزود طرف ثالث”، لكنه لم يذكر اسم المزود المعني. وفي يوم الجمعة، أكدت شركة Live Nation أن فرع Ticketmaster التابع لها قد تم اختراقه وأن قاعدة البيانات المسروقة تمت استضافتها على Snowflake.

واعترفت شركة Snowflake في بيان مقتضب بأنها كانت على علم بـ “احتمال الوصول غير المصرح به” إلى “عدد محدود” من حسابات العملاء، دون تحديد الحسابات، لكنها لم تجد أي دليل على وجود خرق مباشر لأنظمتها. بدلاً من ذلك، وصفتها Snowflake بأنها “حملة مستهدفة موجهة إلى المستخدمين من خلال المصادقة ذات العامل الواحد” وأن المتسللين استخدموا “برامج ضارة تم شراؤها أو الحصول عليها مسبقًا من خلال سرقة المعلومات”، والتي تم تصميمها لاستخراج كلمات المرور المحفوظة للمستخدم من أجهزة الكمبيوتر الخاصة بهم.

على الرغم من البيانات الحساسة التي تحتفظ بها Snowflake لعملائها، تسمح Snowflake لكل عميل بإدارة أمان بيئاته، ولا تقوم بالتسجيل تلقائيًا أو تطلب من عملائها استخدام المصادقة متعددة العوامل، أو MFA، وفقًا لوثائق عملاء Snowflake. يبدو أن عدم فرض استخدام المصادقة المتعددة العوامل (MFA) هو السبب وراء حصول مجرمي الإنترنت على كميات هائلة من البيانات من بعض عملاء Snowflake، والذين قام بعضهم بإعداد بيئاتهم دون إجراء أمني إضافي.

اعترفت شركة Snowflake بأن أحد حساباتها “التجريبية” قد تم اختراقه لأنه لم يكن محميًا بما يتجاوز اسم المستخدم وكلمة المرور، لكنها ادعت أن الحساب “لا يحتوي على بيانات حساسة”. من غير الواضح ما إذا كان هذا الحساب التجريبي المسروق له أي دور في الانتهاكات الأخيرة.

شهدت TechCrunch هذا الأسبوع المئات من بيانات اعتماد عميل Snowflake المزعومة والمتوفرة عبر الإنترنت لمجرمي الإنترنت لاستخدامها كجزء من حملات القرصنة، مما يشير إلى أن خطر اختراقات حساب عميل Snowflake قد يكون أوسع بكثير مما كان معروفًا في البداية.

تمت سرقة بيانات الاعتماد عن طريق برامج ضارة لسرقة المعلومات أصابت أجهزة الكمبيوتر الخاصة بالموظفين الذين لديهم إمكانية الوصول إلى بيئة Snowflake الخاصة بصاحب العمل.

يبدو أن بعض بيانات الاعتماد التي اطلعت عليها TechCrunch تخص موظفين في شركات معروفة بأنها من عملاء Snowflake، بما في ذلك Ticketmaster وSantander، من بين آخرين. يشمل الموظفون الذين يتمتعون بحق الوصول إلى Snowflake مهندسي قواعد البيانات ومحللي البيانات، حيث يشير بعضهم إلى تجربتهم في استخدام Snowflake على صفحات LinkedIn الخاصة بهم.

من جانبها، طلبت Snowflake من العملاء تشغيل ميزة MFA على الفور لحساباتهم. حتى ذلك الحين، فإن حسابات Snowflake التي لا تفرض استخدام MFA لتسجيل الدخول تعرض بياناتها المخزنة لخطر الاختراق من خلال هجمات بسيطة مثل سرقة كلمة المرور وإعادة استخدامها.

كيف قمنا بفحص البيانات

أشار مصدر مطلع على عمليات المجرمين الإلكترونيين إلى موقع TechCrunch على الويب حيث يمكن للمهاجمين المحتملين البحث في قوائم بيانات الاعتماد التي تمت سرقتها من مصادر مختلفة، مثل سرقة المعلومات من البرامج الضارة على كمبيوتر شخص ما أو المجمعة من خروقات البيانات السابقة. (لا يرتبط موقع TechCrunch بالموقع الذي تتوفر فيه بيانات الاعتماد المسروقة حتى لا يساعد الجهات الفاعلة السيئة.)

إجمالاً، شهدت TechCrunch أكثر من 500 بيانات اعتماد تحتوي على أسماء مستخدمين وكلمات مرور للموظفين، إلى جانب عناوين الويب الخاصة بصفحات تسجيل الدخول لبيئات Snowflake المقابلة.

يبدو أن بيانات الاعتماد المكشوفة تتعلق ببيئات Snowflake التابعة لشركة Santander، وTicketmaster، واثنين على الأقل من عمالقة الأدوية، وخدمة توصيل الطعام، ومورد المياه العذبة الذي يديره القطاع العام، وغيرها. لقد رأينا أيضًا أسماء مستخدمين وكلمات مرور مكشوفة يُزعم أنها تخص موظفًا سابقًا في Snowflake.

لم تقم TechCrunch بتسمية الموظف السابق لأنه لا يوجد دليل على أنه ارتكب أي خطأ. (تقع على عاتق Snowflake وعملائها في النهاية مسؤولية تنفيذ وإنفاذ سياسات الأمان التي تمنع عمليات التطفل التي تنتج عن سرقة بيانات اعتماد الموظف.)

لم نختبر أسماء المستخدمين وكلمات المرور المسروقة لأن القيام بذلك من شأنه أن يخالف القانون. على هذا النحو، من غير المعروف ما إذا كانت بيانات الاعتماد قيد الاستخدام حاليًا أو إذا كانت تؤدي بشكل مباشر إلى اختراق الحساب أو سرقة البيانات. وبدلاً من ذلك، عملنا على التحقق من صحة بيانات الاعتماد المكشوفة بطرق أخرى. يتضمن ذلك التحقق من صفحات تسجيل الدخول الفردية لبيئات Snowflake التي تم الكشف عنها بواسطة البرامج الضارة لسرقة المعلومات، والتي كانت لا تزال نشطة ومتصلة بالإنترنت في وقت كتابة هذا التقرير.

تتضمن بيانات الاعتماد التي رأيناها عنوان البريد الإلكتروني للموظف (أو اسم المستخدم)، وكلمة المرور الخاصة به، وعنوان الويب الفريد لتسجيل الدخول إلى بيئة Snowflake الخاصة بشركتهم. عندما فحصنا عناوين الويب الخاصة ببيئات Snowflake – التي غالبًا ما تتكون من أحرف وأرقام عشوائية – وجدنا أن صفحات تسجيل دخول عملاء Snowflake المدرجة يمكن الوصول إليها بشكل عام، حتى لو لم يكن من الممكن البحث فيها عبر الإنترنت.

أكدت TechCrunch أن بيئات Snowflake تتوافق مع الشركات التي تم اختراق تسجيلات دخول موظفيها. لقد تمكنا من القيام بذلك لأن كل صفحة تسجيل دخول قمنا بفحصها كانت تحتوي على خيارين منفصلين لتسجيل الدخول.

تعتمد إحدى طرق تسجيل الدخول على Okta، وهو مزود تسجيل دخول واحد يسمح لمستخدمي Snowflake بتسجيل الدخول باستخدام بيانات اعتماد الشركة الخاصة بهم باستخدام MFA. أثناء عمليات التحقق التي أجريناها، وجدنا أن صفحات تسجيل الدخول الخاصة بـ Snowflake تمت إعادة توجيهها إلى صفحات تسجيل الدخول Live Nation (لـ Ticketmaster) وSantander. لقد عثرنا أيضًا على مجموعة من بيانات الاعتماد الخاصة بموظف في Snowflake، والذي لا تزال صفحة تسجيل الدخول إلى Okta الخاصة به تعيد التوجيه إلى صفحة تسجيل الدخول إلى Snowflake الداخلية التي لم تعد موجودة.

يسمح خيار تسجيل الدخول الآخر الخاص بـ Snowflake للمستخدم باستخدام اسم المستخدم وكلمة المرور الخاصين بـ Snowflake فقط، اعتمادًا على ما إذا كان عميل الشركة يفرض MFA على الحساب، كما هو مفصل في وثائق الدعم الخاصة بـ Snowflake. يبدو أن بيانات الاعتماد هذه قد تمت سرقتها بواسطة البرامج الضارة لسرقة المعلومات من أجهزة كمبيوتر الموظفين.

ليس من الواضح بالضبط متى سُرقت بيانات اعتماد الموظفين أو المدة التي ظلوا فيها متصلين بالإنترنت.

هناك بعض الأدلة التي تشير إلى أن العديد من الموظفين الذين لديهم إمكانية الوصول إلى بيئات Snowflake الخاصة بشركتهم قد تعرضت أجهزة الكمبيوتر الخاصة بهم للاختراق سابقًا من خلال برامج ضارة لسرقة المعلومات. وفقًا للتحقق من خدمة إشعار الاختراق Have I Been Pwned، تم العثور على العديد من عناوين البريد الإلكتروني الخاصة بالشركة المستخدمة كأسماء مستخدمين للوصول إلى بيئات Snowflake في مستودع بيانات حديث يحتوي على ملايين كلمات المرور المسروقة المأخوذة من قنوات Telegram المختلفة المستخدمة لمشاركة كلمات المرور المسروقة.

رفضت دانيكا ستانزاك، المتحدثة باسم Snowflake، الإجابة على أسئلة محددة من TechCrunch، بما في ذلك ما إذا كان قد تم العثور على أي من بيانات عملائها في الحساب التجريبي لموظف Snowflake. وقالت Snowflake في بيان لها إنها “ستعلق حسابات مستخدمين معينة حيث توجد مؤشرات قوية على وجود نشاط ضار”.

وأضاف Snowflake: “بموجب نموذج المسؤولية المشتركة الخاص بـ Snowflake، يتحمل العملاء مسؤولية تنفيذ أسلوب MFA مع مستخدميهم.” وقال المتحدث إن Snowflake “تدرس جميع الخيارات لتمكين MFA، لكننا لم ننتهي من أي خطط في هذا الوقت”.

عندما تم التواصل معنا عبر البريد الإلكتروني، لم تعلق المتحدثة باسم Live Nation، كايتلين هنريتش، حتى وقت نشر المقالة.

ولم يستجب سانتاندر لطلب التعليق.

أدى فقدان وزارة الخارجية إلى انتهاكات ضخمة

إن رد Snowflake حتى الآن يترك الكثير من الأسئلة دون إجابة، ويكشف عن مجموعة كبيرة من الشركات التي لا تجني الفوائد التي يوفرها أمان MFA.

ما هو واضح هو أن Snowflake تتحمل على الأقل بعض المسؤولية عن عدم مطالبة مستخدميها بتشغيل ميزة الأمان، وهي الآن تتحمل العبء الأكبر من ذلك – جنبًا إلى جنب مع عملائها.

يُزعم أن خرق البيانات في Ticketmaster يتضمن ما يزيد عن 560 مليون سجل عميل، وفقًا لمجرمي الإنترنت الذين يعلنون عن البيانات عبر الإنترنت. (لن تعلق Live Nation على عدد العملاء المتأثرين بالاختراق.) إذا ثبت ذلك، فسيكون Ticketmaster أكبر خرق للبيانات في الولايات المتحدة هذا العام حتى الآن، وواحد من أكبر الاختراقات في التاريخ الحديث.

Snowflake هي أحدث شركة في سلسلة من الحوادث الأمنية البارزة وخروقات البيانات الكبيرة الناجمة عن الافتقار إلى MFA.

في العام الماضي، قام مجرمو الإنترنت بجمع حوالي 6.9 مليون سجل عميل من حسابات 23andMe التي لم تكن محمية بدون MFA، مما دفع شركة الاختبارات الجينية – ومنافسيها – إلى مطالبة المستخدمين بتمكين MFA افتراضيًا لمنع تكرار الهجوم.

وفي وقت سابق من هذا العام، اعترفت شركة Change Healthcare، عملاق التكنولوجيا الصحية المملوك لشركة UnitedHealth، بأن المتسللين اخترقوا أنظمتها وسرقوا كميات هائلة من البيانات الصحية الحساسة من نظام غير محمي بـ MFA. ولم يذكر عملاق الرعاية الصحية حتى الآن عدد الأفراد الذين تعرضت معلوماتهم للخطر، لكنه قال إنه من المرجح أن يؤثر ذلك على “نسبة كبيرة من الناس في أمريكا”.


هل تعرف المزيد عن عمليات اقتحام حساب Snowflake؟ ابقى على تواصل. للتواصل مع هذا المراسل، تواصل مع Signal وWhatsApp على الرقم +1 646-755-8849، أو عبر البريد الإلكتروني. يمكنك أيضًا إرسال الملفات والمستندات عبر SecureDrop.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى