Snowflake CEO’su ve eski startup Neeva’nın kurucu ortağı ve CEO’su Sridhar Ramaswamy, 21 Haziran 2022’de Toronto’da düzenlenen Collision konferansında konuşuyor.

Eoin Noonan | Spor Dosyası | Çarpışma | Getty Images

Snowflake, son yedi haftayı, müşterilerinin birçoğunda hassas müşteri verilerini tehlikeye atan büyük bir siber saldırının sonuçlarıyla uğraşarak geçirdi. Yazılım şirketinin sorunları daha da kötüleşti.

Telekomünikasyon devi AT&T, Cuma günü yaptığı düzenleyici başvuruda, bilgisayar korsanlarının müşteri verilerini barındıran bir bulut platformuna sızarak, 2022’de altı aylık bir süre zarfında abonelerin arama ve kısa mesaj kayıtlarına eriştiğini söyledi. AT&T, başvuruda verilerin telefon numaralarını, toplam arama süresini ve bazı hücresel site ayrıntılarını içerdiğini söyledi.

AT&T sözcüsü CNBC’ye bulut hizmetinin Snowflake’a ait olduğunu söyledi. Snowflake hisseleri Cuma günü %1,8 düşerken Nasdaq %0,6 arttı.

Bu, Snowflake’un 30 Mayıs’ta ihlali açıklamasından bu yana en ciddi olaydı. Şirket o dönemde bir blog yazısında, “23 Mayıs 2024’te belirli müşteri hesaplarına yetkisiz erişim olduğunun farkına vardık.” yazmıştı. Snowflake, siber güvenlik yazılımı satıcısı CrowdStrike ve Alphabet’in Mandiant’ının soruşturma için yardımını istedi.

Mandiant geçen ay bir blog yazısında, “Kurban Bildirim Programı” aracılığıyla şirket ve Snowflake’un olayla ilgili 165 “potansiyel olarak ifşa olmuş kuruluşu” uyardığını yazdı. Mandiant, saldırıyı UNC5537 adını verdiği, Kuzey Amerika ve Türkiye’de üyeleri bulunan finansal olarak motive olmuş bir grubun üzerine attı. UNC5537, kötü amaçlı yazılım kullanılarak ayrı ayrı çalındıktan sonra çevrimiçi olarak erişilebilen oturum açma kimlik bilgilerinden yararlandı.

Cuma gününe kadar, Snowflake ihlaliyle bağlantılı en dikkat çekici şirketler Advance Auto Parts, LendingTree, Ticketmaster operatörü Live Nation ve Santander Bank’tı. Santander Bank, Snowflake’in ifşasından önce, Mayıs ortasında “Son zamanlarda, üçüncü taraf bir sağlayıcı tarafından barındırılan bir Santander veritabanına yetkisiz erişim olduğunu fark ettik.” demişti.

AT&T çok daha büyük. Şirketin geçen yılın sonunda ABD kablosuz mobilite hizmetleri için 242 milyon müşterisi vardı ve 128 milyon bağlı cihaz vardı.

Şirket, ihlaldeki verilerin “AT&T’nin kablosuz ağını kullanan tüm kablosuz müşterileri ve mobil sanal ağ operatörlerinin müşterilerini” ilgilendirdiğini söyledi.

“Veriler müşteri adlarını içermese de, genellikle halka açık çevrimiçi araçları kullanarak belirli bir telefon numarasıyla ilişkili adı bulmanın yolları vardır,” diye yazdı AT&T. Saldırganlar aramaların veya metinlerin içeriğine erişemedi.

Snowflake sözcüsü AT&T saldırısı sorulduğunda yorum yapmadı. Sözcü, şirketin saldırı hakkındaki önceki açıklamalarına işaret etti.

Mandiant, blog yazısında Snowflake’e ait olmayan sistemlerdeki bazı kötü amaçlı yazılım enfeksiyonlarının 2020’ye dayandığını ve kimlik bilgilerinin bazı durumlarda çalındıktan yıllar sonra bile geçerli olduğunu söyledi. Bazı durumlarda, kimlik bilgileri Snowflake müşterileri için yükleniciler tarafından kullanılan bilgisayarlarda alınmıştı; bu cihazlar korsan yazılım indirme gibi kişisel aktiviteler için de kullanılıyordu.

Mandiant, kullanıcı adlarının ve parolaların UNC5537’nin müşterilerin Snowflake ortamlarına girmesi için yeterli olduğunu çünkü çok faktörlü kimlik doğrulamayı açmadıklarını söyledi. Buradan, bilgisayar korsanları “önemli miktarda müşteri verisi” ihraç etti. UNC5537 o zamandan beri kurbanları gasp etmeye ve müşteri verilerini çevrimiçi satmaya başladı, diye ekledi Mandiant.

AT&T, Cuma günü yaptığı açıklamada saldırının şirketin mali durumu üzerinde önemli bir etkisi olacağına inanmadığını söyledi.

Ancak Snowflake, şirketin “gerçek veya algılanan bir güvenlik ihlali yaşaması veya yetkisiz tarafların müşterilerimizin verilerine, verilerimize veya platformumuza başka bir şekilde erişim sağlaması” durumunda itibar kaybı ve “önemli yükümlülüklerle” karşı karşıya kalabileceği konusunda yatırımcıları uyardı.

Snowflake bu haftanın başlarında, yöneticilerin çok faktörlü kimlik doğrulamanın zorunlu kullanımını sağlayabileceğini söyleyen bir blog yazısı yayınladı.

Derinleşen destan, Şubat ayında Frank Slootman’ın yerini alarak Snowflake’un CEO’su olan eski bir Google yöneticisi olan Sridhar Ramaswamy için büyüyen bir meydan okumayı temsil ediyor. Saldırı ifşasından birkaç gün önce, yönetim şirketin tam yıllık düzeltilmiş faaliyet geliri tahminini düşürdükten sonra Snowflake hissesi %5 düştü.

2012’de kurulan Snowflake, 2020’de halka açıldı ve bir yazılım şirketi için şimdiye kadarki en büyük ilk halka arzda 3 milyar dolardan fazla para topladı. Piyasa değerini 70 milyar doların üzerine çıkaran büyük bir ilk gün patlamasından bu yana, Snowflake değer kaybetti ve hisse senedi Cuma günü yaklaşık 45 milyar dolarlık bir değerlemeyle 134,73 dolardan kapandı.

CNBC PRO’dan bu içgörüleri kaçırmayın