Ticketmaster страда от кибератака на платформата Snowflake, която компрометира данните на потребителите
Ticketmaster, заедно с множество други организации, претърпяха значително нарушение на данните поради кибератака на платформата Snowflake. Изследователите по сигурността съобщиха, че са били откраднати значителни количества информация, което е засегнало милиони потребители.
Съдържание
Откриване на Пробива
Пробивът привлече вниманието на обществеността, когато известна хакерска група заяви, че е измъкнала данните на 560 милиона потребители, като поиска 500 000 долара за информацията. Live Nation Entertainment, компанията майка на Ticketmaster, потвърди нарушението в декларация на SEC, разкривайки неоторизиран достъп до облачна база данни на трета страна.
На 31 май Snowflake разкри, че разследва кибер инцидент, засягащ ограничен брой клиенти. Актьорите на заплахата са насочени към клиентски акаунти, използвайки еднофакторно удостоверяване и са използвали предварително получени идентификационни данни. Snowflake подчерта, че няма доказателства за уязвимост или нарушение на основната му платформа.
Мерки за сигурност и отговор на компанията
Snowflake заяви, че компрометираните идентификационни данни са принадлежали на бивш служител и са били използвани за достъп до демо акаунти, които не съдържат чувствителни данни. Демо акаунтите не бяха защитени с многофакторно удостоверяване (MFA), за разлика от корпоративните системи на Snowflake. Компанията предостави индикатори за компрометиране (IoCs) и препоръча смекчаване на подозрителна активност в акаунта.
Кибератаката засегна множество организации, включително Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank и State Farm. Santander Bank съобщи за неоторизиран достъп до нейните бази данни, компрометирайки информацията за клиенти и служители. Атаката потенциално е засегнала около 400 организации, като нападателите искат 20 милиона долара от Snowflake.
Резултати от разследването
Актьорите на заплахи твърдят, че са заобиколили защитата на Okta и са генерирали токени за сесия, което им позволява да откраднат огромни количества данни. Докладите показват, че над 500 екземпляра на демонстрационна среда са били компрометирани. Австралийският център за киберсигурност призна повишената активност на заплахите, свързани с клиентските среди на Snowflake.
Изследователят по сигурността Кевин Бомонт подчерта, че провалът на Snowflake да използва MFA в демонстрационни среди и правилно защитени акаунти на служители е допринесъл за нарушението. Актьорите на заплахата, идентифицирани като тийнейджъри, активни в Telegram, са използвали крадци на информация за достъп до бази данни на Snowflake с откраднати идентификационни данни.
Препоръки за клиентите на Snowflake/Tickmaster
Клиентите се съветват да деактивират неактивните акаунти, да се уверят, че MFA е активиран, да нулират идентификационните данни за активни акаунти и да следват препоръките за смекчаване на Snowflake, за да защитят своите данни.
Пробивът на данни на Ticketmaster, улеснен чрез Snowflake, подчертава важността на стабилните мерки за сигурност, включително многофакторно удостоверяване и бдително управление на идентификационните данни, за защита срещу сложни кибер заплахи.