تأثرت أكثر من عشر شركات بحملة سرقة بيانات كبيرة، حيث ظهرت منصة تخزين البيانات السحابية Snowflake كهدف رئيسي. لم تنشأ الهجمات من اختراق مباشر للبنية التحتية لـ Snowflake، بل من اختراق مزود خدمة تكامل تابع لطرف ثالث. سرق الجهات الفاعلة التهديدية رموز المصادقة من هذا المزود، ثم استخدموها في حملات آلية للوصول إلى بيانات العملاء المخزنة داخل Snowflake وخدمات سحابية أخرى. يسلط هذا الحادث الضوء على المخاطر المتصاعدة الناجمة عن هجمات سلسلة التوريد، حيث يؤدي الاختراق لدى مورد موثوق إلى خلق تأثير مضاعف للاختراقات الأمنية عبر قاعدة عملائه.
أكدت شركة Snowflake "نشاطًا غير عادي" أثر على عدد محدود من حسابات العملاء المرتبطة بتكامل محدد لطرف ثالث. ردًا على ذلك، أطلقت الشركة تحقيقًا، وقامت بإغلاق الحسابات التي يحتمل تأثرها بشكل استباقي، وأبلغت العملاء المتأثرين مع تقديم إرشادات لتعزيز وضعهم الأمني. والأهم من ذلك، شددت Snowflake على أن أنظمتها الداخلية لم يتم اختراقها ولم يتم استغلال أي ثغرة أمنية داخل منصتها. تركزت منهجية الهجوم بالكامل على إساءة استخدام بيانات الاعتماد الشرعية المسروقة من المزود الخارجي. تشير التقارير إلى أن الجهات الفاعلة التهديدية حاولت أيضًا، دون نجاح، استخدام الرموز المسروقة لسرقة بيانات من Salesforce، مما يوضح المدى الواسع المحتمل لاختراق مزود تكامل واحد.
تأتي هذه الحملة في خلفية مقلقة من التهديدات الإلكترونية المركزة على بيانات الاعتماد. تفصل تقارير منفصلة عن زيادة هائلة في هجمات التصيد باستخدام رمز الجهاز، واستغلال ثغرة جديدة في نظام Fortinet's EMS، واختراق متطور لحزمة npm يستهدف المطورين. علاوة على ذلك، يسلط إعلان مكتب التحقيقات الفيدرالي (FBI) الأخير عن خسارة الأمريكيين رقمًا قياسيًا قدره 21 مليار دولار بسبب الجرائم الإلكترونية العام الماضي الضوء على المخاطر المالية الهائلة. يعد حادث Snowflake تذكيرًا بالغ الأهمية للمنظمات لتقييم الممارسات الأمنية لمورديها وشركاء التكامل التابعين لطرف ثالث بدقة، وفرض ضوابط وصول صارمة ومراقبة لحسابات الخدمة، وإلزام المصادقة متعددة العوامل حيثما أمكن ذلك لتخفيف خطر سرقة بيانات الاعتماد.
