ما لا تقوله Snowflake عن خروقات بيانات عملائها
إن المشكلات الأمنية التي تواجهها شركة Snowflake في أعقاب الموجة الأخيرة من سرقة بيانات العملاء تتزايد، بسبب عدم وجود كلمة أفضل.
بعد أن كانت Ticketmaster أول شركة تربط خرق بياناتها الأخير بشركة البيانات السحابية Snowflake، أكد موقع مقارنة القروض LendingTree الآن أن شركة QuoteWizard التابعة لها قد سُرقت بيانات من Snowflake.
قالت ميغان جريولنج، المتحدثة باسم LendingTree، لـ TechCrunch: “يمكننا أن نؤكد أننا نستخدم Snowflake في عملياتنا التجارية، وأننا أبلغناهم بأن فرعنا، QuoteWizard، ربما يكون لديه بيانات تأثرت بهذا الحادث”.
“نحن نأخذ هذه الأمور على محمل الجد، وفور سماعنا منها [Snowflake] وقال المتحدث: “بدأت تحقيقًا داخليًا”. وأضاف المتحدث: “حتى هذا الوقت، لا يبدو أن معلومات الحساب المالي للمستهلك قد تأثرت، ولا معلومات الكيان الأم، LendingTree”، رافضًا التعليق أكثر مشيرًا إلى التحقيق المستمر.
ومع تقدم المزيد من العملاء المتأثرين، لم تقل شركة Snowflake سوى بيان موجز على موقعها على الإنترنت تؤكد فيه أنه لم يكن هناك خرق للبيانات في أنظمتها الخاصة، بل لم يكن عملاؤها يستخدمون المصادقة متعددة العوامل، أو MFA – وهو إجراء أمني يستخدم لا تفرض Snowflake أو تطلب من عملائها التمكين افتراضيًا. تم اكتشاف Snowflake نفسها بالحادث، قائلة إن الحساب “التجريبي” للموظف السابق قد تم اختراقه لأنه كان محميًا فقط باسم المستخدم وكلمة المرور.
وفي بيان صدر يوم الجمعة، تمسك سنوفليك بقوة برده حتى الآن، موضحًا أن موقفه “لم يتغير”. نقلاً عن بيان سابق صدر يوم الأحد، قال براد جونز، كبير مسؤولي أمن المعلومات في Snowflake، إن هذه كانت “حملة مستهدفة موجهة إلى المستخدمين من خلال المصادقة ذات العامل الواحد” واستخدام بيانات الاعتماد المسروقة من البرامج الضارة لسرقة المعلومات أو تم الحصول عليها من خروقات البيانات السابقة.
يبدو أن الافتقار إلى MFA هو السبب وراء قيام مجرمي الإنترنت بتنزيل كميات هائلة من البيانات من بيئات عملاء Snowflake، والتي لم تكن محمية بطبقة الأمان الإضافية.
عثر موقع TechCrunch في وقت سابق من هذا الأسبوع على مئات من بيانات اعتماد عملاء Snowflake التي تمت سرقتها بواسطة برامج ضارة لسرقة كلمات المرور والتي أصابت أجهزة الكمبيوتر الخاصة بالموظفين الذين يمكنهم الوصول إلى بيئة Snowflake الخاصة بصاحب العمل. يشير عدد بيانات الاعتماد إلى أنه لا يزال هناك خطر على عملاء Snowflake الذين لم يغيروا كلمات المرور الخاصة بهم أو يقومون بتمكين MFA بعد.
على مدار الأسبوع، أرسلت TechCrunch أكثر من عشرة أسئلة إلى Snowflake حول الحادث المستمر الذي يؤثر على عملائها بينما نواصل تقديم التقارير عن القصة. رفضت Snowflake الإجابة على أسئلتنا في ست مناسبات على الأقل.
هذه بعض الأسئلة التي نطرحها، ولماذا.
ليس من المعروف حتى الآن عدد عملاء Snowflake المتأثرين، أو ما إذا كانت Snowflake تعرف ذلك حتى الآن.
وقالت Snowflake إنها قامت حتى الآن بإخطار “عدد محدود من عملاء Snowflake” الذين تعتقد الشركة أنهم ربما تأثروا. وتقول Snowflake على موقعها الإلكتروني إن لديها أكثر من 9800 عميل، بما في ذلك شركات التكنولوجيا وشركات الاتصالات ومقدمي الرعاية الصحية.
ورفضت دانيكا ستانزاك، المتحدثة باسم Snowflake، تحديد ما إذا كان عدد العملاء المتأثرين بالعشرات أو العشرات أو المئات أو أكثر.
من المحتمل أنه على الرغم من عدد قليل من انتهاكات العملاء التي تم الإبلاغ عنها هذا الأسبوع، إلا أننا لا نزال في الأيام الأولى لفهم حجم هذه الحادثة.
قد لا يكون من الواضح حتى لشركة Snowflake عدد عملائها المتأثرين حتى الآن، حيث سيتعين على الشركة إما الاعتماد على بياناتها الخاصة، مثل السجلات، أو معرفة ذلك مباشرة من العميل المتأثر.
ومن غير المعروف متى تمكنت شركة Snowflake من معرفة عمليات التطفل على حسابات عملائها. وقال بيان Snowflake إنها أصبحت على علم في 23 مايو بـ “نشاط التهديد” – الوصول إلى حسابات العملاء وتنزيل محتوياتها – ولكنها عثرت لاحقًا على أدلة على عمليات اختراق يعود تاريخها إلى إطار زمني غير محدد أكثر من منتصف أبريل، مما يشير إلى أن الشركة لديها بعض البيانات التي يمكن الاعتماد عليها.
لكن هذا يترك أيضًا السؤال مفتوحًا: لماذا لم تكتشف Snowflake في ذلك الوقت تسرب كميات كبيرة من بيانات العملاء من خوادمها حتى وقت لاحق من شهر مايو، أو إذا فعلت ذلك، فلماذا لم تنبه Snowflake عملائها علنًا عاجلاً.
أخبرت شركة Mandiant للاستجابة للحوادث، والتي استدعتها Snowflake للمساعدة في التواصل مع عملائها، Bleeping Computer في نهاية شهر مايو أن الشركة كانت تساعد بالفعل المنظمات المتضررة “لعدة أسابيع”.
ما زلنا لا نعرف ما كان موجودًا في الحساب التجريبي لموظف Snowflake السابق، أو ما إذا كان ذا صلة بانتهاكات بيانات العميل.
يقول سطر رئيسي من بيان Snowflake: “لقد وجدنا دليلاً على أن ممثل التهديد حصل على بيانات اعتماد شخصية ووصل إلى حسابات تجريبية تخص موظفًا سابقًا في Snowflake. ولم تكن تحتوي على بيانات حساسة.”
تتضمن بعض بيانات اعتماد العملاء المسروقة المرتبطة ببرامج ضارة لسرقة المعلومات، تلك التي تخص موظفًا في Snowflake آنذاك، وفقًا لمراجعة أجرتها TechCrunch.
كما أشرنا سابقًا، لم تقم TechCrunch بتسمية الموظف لأنه ليس من الواضح أنه ارتكب أي خطأ. إن حقيقة أن Snowflake قد تم اكتشافها بسبب افتقارها إلى تطبيق MFA الذي يسمح لمجرمي الإنترنت بتنزيل البيانات من الحساب “التجريبي” الخاص بالموظف في ذلك الوقت باستخدام اسم المستخدم وكلمة المرور فقط، يسلط الضوء على مشكلة أساسية في النموذج الأمني الخاص بـ Snowflake.
ولكن لا يزال من غير الواضح ما هو الدور الذي يلعبه هذا الحساب التجريبي، إن وجد، في سرقة بيانات العملاء لأنه ليس من المعروف بعد ما هي البيانات التي تم تخزينها داخله، أو ما إذا كان يحتوي على بيانات من عملاء Snowflake الآخرين.
رفض Snowflake تحديد الدور الذي لعبه الحساب التجريبي لموظف Snowflake آنذاك، إن وجد، في انتهاكات العملاء الأخيرة. وأكد Snowflake مجددًا أن الحساب التجريبي “لم يحتوي على بيانات حساسة”، لكنه رفض مرارًا وتكرارًا تحديد كيفية تعريف الشركة لما تعتبره “بيانات حساسة”.
لقد سألنا عما إذا كانت Snowflake تعتقد أن معلومات التعريف الشخصية للأفراد هي بيانات حساسة. ورفضت ندفة الثلج التعليق.
من غير الواضح لماذا لم تقم Snowflake بإعادة تعيين كلمات المرور بشكل استباقي، أو لماذا طلبت وفرضت استخدام MFA على حسابات عملائها.
ليس من غير المعتاد أن تقوم الشركات بإعادة تعيين كلمات مرور عملائها بالقوة بعد حدوث خرق للبيانات. ولكن إذا سألت Snowflake، لم يكن هناك أي خرق. وعلى الرغم من أن هذا قد يكون صحيحًا، بمعنى أنه لم يكن هناك أي تسوية واضحة لبنيتها التحتية المركزية، إلا أن عملاء Snowflake يتعرضون لاختراقات كبيرة.
نصيحة Snowflake لعملائها هي إعادة تعيين وتدوير بيانات اعتماد Snowflake وفرض MFA على جميع الحسابات. صرحت Snowflake سابقًا لـ TechCrunch أن عملائها في مأزق من أجل أمنهم الخاص: “بموجب نموذج المسؤولية المشتركة لـ Snowflake، يتحمل العملاء مسؤولية فرض MFA مع مستخدميهم.”
ولكن نظرًا لأن سرقات بيانات عملاء Snowflake هذه مرتبطة باستخدام أسماء المستخدمين وكلمات المرور المسروقة للحسابات غير المحمية باستخدام MFA، فمن غير المعتاد ألا تتدخل Snowflake نيابة عن عملائها لحماية حساباتهم من خلال إعادة تعيين كلمة المرور أو فرض MFA.
انها ليست غير مسبوقة. في العام الماضي، قام مجرمو الإنترنت باستخلاص 6.9 مليون سجل مستخدم وسجلات جينية من حسابات 23andMe التي لم تكن محمية ببرنامج MFA. تقوم شركة 23andMe بإعادة تعيين كلمات مرور المستخدم بدافع الحذر لمنع المزيد من هجمات التجريد، وبالتالي تطلبت استخدام MFA على جميع حسابات مستخدميها.
لقد سألنا Snowflake عما إذا كانت الشركة تخطط لإعادة تعيين كلمات المرور لحسابات عملائها لمنع أي تدخلات أخرى محتملة. ورفضت ندفة الثلج التعليق.
يبدو أن Snowflake تتجه نحو طرح MFA افتراضيًا، وفقًا لموقع أخبار التكنولوجيا Runtime، نقلاً عن الرئيس التنفيذي لشركة Snowflake Sridhar Ramaswamy في مقابلة أجريت معه هذا الأسبوع. تم تأكيد ذلك لاحقًا بواسطة CISO Jones من Snowflake في تحديث الجمعة.
وقال جونز: “نحن نعمل أيضًا على تطوير خطة لنطلب من عملائنا تنفيذ ضوابط الأمان المتقدمة، مثل المصادقة متعددة العوامل (MFA) أو سياسات الشبكة، خاصة لحسابات عملاء Snowflake المميزة”.
ولم يتم تحديد إطار زمني للخطة.
هل تعرف المزيد عن عمليات اقتحام حساب Snowflake؟ ابقى على تواصل. للتواصل مع هذا المراسل، تواصل مع Signal وWhatsApp على الرقم +1 646-755-8849، أو عبر البريد الإلكتروني. يمكنك أيضًا إرسال الملفات والمستندات عبر SecureDrop.
