Snowflake, bir bulut veri ambarı platformu, önemli bir veri ihlali yaşadı ve bu durum 165 müşterisini etkiledi. İhlal, hackerların çalınmış müşteri bilgilerini kullanarak verilere eriştiği ve onları çaldığı süregelen bir şantaj kampanyasının parçası. Google'a ait Mandiant tarafından UNC5537 adıyla izlenen bu kampanya, finansal kazanç amaçlayan tehdit aktörlerini içeriyor ve dünya çapında yüzlerce kuruluşu hedef alıyor. Hackerlar, Lumma, MetaStealer, Raccoon, RedLine, RisePro ve Vidar gibi infostealer (bilgi çalan) malware türleri aracılığıyla elde edilen çalıntı kimlik bilgilerini kullanarak Snowflake müşterilerinin hesaplarına sızıyorlar.

Bu kimlik bilgileri, genellikle Snowflake’e ait olmayan ve kişisel aktiviteler için kullanılan (oyun oynama, korsan yazılım indirme gibi) sistemlerden elde ediliyor. Tehdit aktörleri daha sonra FROSTBITE adlı bir keşif aracı kullanarak kullanıcılar, roller, IP'ler, oturum kimlikleri ve organizasyon isimleri hakkında bilgi topluyorlar. Son olarak, verileri aşamalı olarak çalıp, genellikle kurbanlardan maddi kazanç elde etmek için şantaj yapmaya çalışıyorlar. Snowflake, müşterileriyle yakın işbirliği içinde güvenlik önlemlerini güçlendirmeye çalışıyor ve iki faktörlü kimlik doğrulama (MFA) veya ağ politikalari gibi gelişmiş güvenlik kontrollerini zorunlu kılacak bir plan geliştiriyor. Şirket, saldırıların başarılı olmasının nedeninin MFA eksikliği, kimlik bilgilerinin dönemsel olarak yenilenmemesi ve erişimlerin yalnızca güvenilir yerlerden yapıldığının denetlenmemesi olduğunu vurguluyor. Bu olay, bu tür tehditlere karşı güçlü güvenlik önlemlerinin önemini bir kez daha gözler önüne seriyor.