يعاني Ticketmaster من هجوم إلكتروني لخرق بيانات منصة Snowflake مما أدى إلى اختراق بيانات المستخدم
تعرضت Ticketmaster، إلى جانب العديد من المنظمات الأخرى، لاختراق كبير للبيانات بسبب هجوم إلكتروني على منصة Snowflake. أفاد باحثون أمنيون أن كميات كبيرة من المعلومات قد سُرقت، مما أثر على ملايين المستخدمين.
جدول المحتويات
اكتشاف الخرق
وقد لفت انتباه الرأي العام هذا الاختراق عندما ادعت مجموعة قرصنة سيئة السمعة أنها قامت بتسريب بيانات 560 مليون مستخدم، وطالبت بمبلغ 500 ألف دولار مقابل هذه المعلومات. أكدت شركة Live Nation Entertainment، الشركة الأم لـ Ticketmaster، الاختراق في ملف SEC، وكشفت عن الوصول غير المصرح به إلى قاعدة بيانات سحابية تابعة لجهة خارجية.
في 31 مايو، كشفت Snowflake أنها كانت تحقق في حادث إلكتروني أثر على عدد محدود من العملاء. استهدفت جهات التهديد حسابات العملاء باستخدام المصادقة أحادية العامل واستفادت من بيانات الاعتماد التي تم الحصول عليها مسبقًا. وشددت Snowflake على أنه لا يوجد دليل على وجود ثغرة أمنية أو اختراق لمنصتها الأساسية.
التدابير الأمنية واستجابة الشركة
وذكر Snowflake أن بيانات الاعتماد المخترقة تخص موظفًا سابقًا وتم استخدامها للوصول إلى الحسابات التجريبية، التي لم تحتوي على بيانات حساسة. لم يتم تأمين الحسابات التجريبية باستخدام المصادقة متعددة العوامل (MFA)، على عكس أنظمة شركة Snowflake. قدمت الشركة مؤشرات اختراق (IoCs) وإجراءات تخفيف موصى بها لنشاط الحساب المشبوه.
أثر الهجوم الإلكتروني على العديد من المؤسسات، بما في ذلك Anheuser-Busch، وAllstate، وMitsubishi، وNiman Marcus، وProgressive، وSantander Bank، وState Farm. أبلغ بنك Santander عن وصول غير مصرح به إلى قواعد بياناته، مما أدى إلى تعريض معلومات العملاء والموظفين للخطر. من المحتمل أن يكون الهجوم قد أثر على حوالي 400 منظمة، حيث طالب المهاجمون بمبلغ 20 مليون دولار من Snowflake.
نتائج التحقيق
ادعت الجهات الفاعلة في مجال التهديد أنها تجاوزت إجراءات حماية Okta وأنشأت رموزًا مميزة للجلسة، مما سمح لها بسرقة كميات هائلة من البيانات. أشارت التقارير إلى تعرض أكثر من 500 بيئة تجريبية للاختراق. أقر مركز الأمن السيبراني الأسترالي بزيادة نشاط التهديد المتعلق ببيئات عملاء Snowflake.
أبرز الباحث الأمني كيفن بومونت أن فشل Snowflake في استخدام MFA في البيئات التجريبية وتأمين حسابات الموظفين بشكل صحيح ساهم في الاختراق. استخدم ممثلو التهديد، الذين تم تحديدهم على أنهم مراهقين نشطين على Telegram، أدوات سرقة المعلومات للوصول إلى قواعد بيانات Snowflake باستخدام بيانات الاعتماد المسروقة.
توصيات لعملاء Snowflake/Tickmaster
يُنصح العملاء بتعطيل الحسابات غير النشطة، والتأكد من تمكين MFA، وإعادة تعيين بيانات الاعتماد للحسابات النشطة، واتباع توصيات التخفيف من Snowflake لحماية بياناتهم.
يؤكد خرق بيانات Ticketmaster، الذي تم تسهيله من خلال Snowflake، على أهمية التدابير الأمنية القوية، بما في ذلك المصادقة متعددة العوامل والإدارة اليقظة لبيانات الاعتماد، للحماية من التهديدات السيبرانية المعقدة.