شکایت شرکت فین تک مارکیس از سونیک وال به دلیل نقض امنیت فایروال و نشت اطلاعات حساس نشان دهنده ابعاد گسترده حملات باج افزاری ناشی از ضعف در سیستم های حفاظتی است.
غول فین تک «مارکیس» (Marquis) از تامین کننده فایروال خودش یعنی «سونیک وال» (SonicWall) شکایت کرده و مدعی شده که یه رخنه امنیتی قدیمی تر به هکرها اجازه داده تا اطلاعات حساس فایروال های مشتری ها رو بدزدن و همین موضوع باعث حمله باج افزاری به شبکه مارکیس شده. این وضعیت، یک مورد جدی از نقض امنیت فایروال محسوب می شود.
این دادخواست که روز دوشنبه در دادگاه منطقه ای ایالات متحده در شرق تگزاس ثبت شده، خواستار برگزاری دادگاه با حضور هیئت منصفه است. در این شکایت ادعا شده که رخنه امنیتی سال 1404 در سونیک وال «اطلاعات امنیتی حیاتی مارکیس و تمام مشتریانی که از سرویس بک آپ ابری فایروال سونیک وال استفاده می کردن رو در معرض خطر قرار داده» و به نوعی به نقض امنیت فایروال منجر شده است.
«ساتین میرچندانی»، مدیرعامل مارکیس، در بیانیه ای به تک کرانچ گفت که سونیک وال ظاهرا در تامین امنیت سرویس بک آپ خودش کوتاهی کرده و این کار باعث شده شرکت دچار «خسارت های جدی اعتباری، عملیاتی و مالی» بشه، که نشان دهنده یک نقض امنیت فایروال جدی است.
جزئیات نقض امنیت فایروال سونیک وال
خبر این شکایت چند هفته بعد از گزارش تک کرانچ مبنی بر تصمیم مارکیس برای دریافت خسارت از سونیک وال منتشر می شه. این غول فین تک که در پلانو تگزاس مستقر هست، به مشتری هاش گفته بود که سونیک وال رو مقصر می دونه، چون اجازه داده هکرها اطلاعات حساس فایل های پیکربندی فایروال مشتری ها، از جمله خود مارکیس رو سرقت کنن. این سرقت اطلاعات، نمونه ای دیگر از نقض امنیت فایروال است.
در متن این شکایت اومده: «سونیک وال به یه عامل تهدید اجازه داد تا کلیدهای دور زدن اون خط دفاعی رو به دست بیاره و مستقیما وارد شبکه داخلی مارکیس بشه؛ یعنی دقیقا همون چیزی که فایروال سونیک وال قرار بود جلوش رو بگیره.»
فایروال ها وظیفه دارن جلوی دسترسی های غیرمجاز به شبکه شرکت رو بگیرن، اما مارکیس ادعا می کنه هکرهایی که با باج افزار شبکه اش رو مختل کردن، از اطلاعات دزدیده شده از سونیک وال درباره نحوه تنظیم فایروال مشتری ها استفاده کردن؛ این اطلاعات شامل رمزهای عبور اضطراری (معروف به اسکرچ کد) بوده که اجازه دسترسی به شبکه داخلی مارکیس رو به اون ها داده. این بهره برداری از اطلاعات، به وضوح نشان دهنده نقض امنیت فایروال و شکست آن در انجام وظیفه اش بود.
مارکیس، که به صدها بانک و اتحادیه اعتباری امکان تحلیل بصری داده های مشتری هاشون رو می ده، گفته که هکرها در این حمله سایبری، «اطلاعات هویتی مربوط به مشتری های برخی از نهادهای مالی طرف قرارداد مارکیس» رو به دست آوردن.
داده های سرقت شده شامل نام مشتری ها، تاریخ تولد، آدرس پستی و اطلاعات مالی، از جمله شماره حساب بانکی، شماره کارت های نقدی و اعتباری و همچنین شماره تامین اجتماعی مشتری هاست که ابعاد گسترده سرقت گسترده اطلاعات کاربران را در این حوزه نشان می دهد.
سخنگوی سونیک وال هنوز واکنش فوری به این شکایت نشون نداده.
سونیک وال اولین بار در اواسط شهریورماه به رخنه در سیستم های خودش اعتراف کرد و گفت که کمتر از 5 درصد فایل های بک آپ پیکربندی فایروال مشتری ها از سرورهای ذخیره سازی اون ها (که روی فضای ابری آمازون میزبانی و توسط سونیک وال مدیریت می شد) خارج شده. این سازنده فایروال در مهرماه تایید کرد که در واقع فایل های بک آپ فایروال تمام مشتری ها در این رخنه به سرقت رفته. این اعتراف ها، گواه بر وقوع نقض امنیت فایروال در مقیاس وسیع بود.
مارکیس در آذرماه 1404 اطلاع رسانی به افراد آسیب دیده رو شروع کرد و گفت که شبکه هاش در مردادماه اون سال مورد نفوذ قرار گرفته. سونیک وال هنوز اعلام نکرده که هکرها دقیقا از چه زمانی تونستن به سیستم هاش دسترسی پیدا کنن.
هنوز مشخص نیست که چه چیزی باعث این رخنه در سونیک وال شده. مارکیس در شکایت خودش ادعا می کنه که سونیک وال ماه ها قبل، در بهمن ماه 1403، تغییری در کد یکی از APIهای خودش ایجاد کرده بود که «یک آسیب پذیری قابل سوءاستفاده برای عوامل تهدید به وجود آورد». مارکیس گفته که این باگ به هکرها اجازه داده تا «بدون احراز هویت مناسب» و صرفا با حدس زدن شماره سریال های قابل پیش بینی فایروال ها، به فایل های بک آپ پیکربندی مشتری ها دسترسی پیدا کنن. این آسیب پذیری، زمینه اصلی نقض امنیت فایروال را فراهم کرده بود.
میرچندانی، مدیرعامل مارکیس، در بیانیه ای که در اختیار تک کرانچ قرار داده، گفت: «با وجود اینکه ما تونستیم سریعا شبکه و داده های مشتری ها رو ایمن کنیم، اما تحقیقات ما نشون داد که قرار گرفتن ما در معرض عوامل تهدید به دلیل رخنه در شبکه سونیک وال و کوتاهی اون ها در اطلاع رسانی به ما بوده که نشان از یک نقض امنیت فایروال داشت.»
میرچندانی به تک کرانچ گفت که سونیک وال هنوز هیچ اطلاعات غیرعمومی درباره علت اصلی این رخنه ارائه نداده.
میرچندانی گفت: «امیدواریم در طول فرآیند دادرسی، جزئیات بیشتری متوجه بشیم.»
مارکیس هنوز اعلام نکرده که دقیقا چه تعداد از افراد تحت تاثیر این نشت داده قرار گرفتن. با توجه به فهرست ثبت شده در دادستانی کل تگزاس، مشخص شده که حداقل 400,000 نفر در سراسر ایالات متحده تحت تاثیر این رخنه در غول فین تک قرار گرفتن.
انتظار می ره با ثبت گزارش های بیشتر نشت داده در دادستانی های مختلف ایالات متحده، تعداد افراد آسیب دیده افزایش پیدا کنه.
این پرونده بار دیگر بر ضرورت امنیت زنجیره تامین در دنیای دیجیتال تاکید می کند. زمانی که ابزارهای دفاعی خود دچار نقص می شوند، نهادهای مالی و مشتریان آن ها با خطرات جبران ناپذیری مواجه خواهند شد که تنها با شفافیت و مسئولیت پذیری شرکت های ارائه دهنده خدمات امنیتی قابل مدیریت است.
