Ticketmaster pateix un ciberatac per violació de dades de la plataforma Snowflake que va comprometre les dades dels usuaris
Ticketmaster, juntament amb moltes altres organitzacions, van experimentar una bretxa de dades important a causa d'un ciberatac a la plataforma Snowflake. Els investigadors de seguretat van informar que es van robar quantitats substancials d'informació, la qual cosa va afectar milions d'usuaris.
Taula de continguts
Descobriment de la Bretxa
La violació va cridar l'atenció pública quan un famós grup de pirates informàtics va afirmar haver exfiltrat les dades de 560 milions d'usuaris i va demanar 500.000 dòlars per la informació. Live Nation Entertainment, l'empresa matriu de Ticketmaster, va confirmar l'incompliment en un document de la SEC, revelant l'accés no autoritzat a una base de dades al núvol de tercers.
El 31 de maig, Snowflake va revelar que estava investigant un incident cibernètic que afectava un nombre limitat de clients. Els actors de l'amenaça van dirigir els comptes dels clients mitjançant l'autenticació d'un sol factor i van aprofitar les credencials obtingudes anteriorment. Snowflake va destacar que no hi havia proves d'una vulnerabilitat o incompliment de la seva plataforma bàsica.
Mesures de seguretat i resposta de l'empresa
Snowflake va declarar que les credencials compromeses pertanyien a un antic empleat i es van utilitzar per accedir a comptes de demostració, que no contenien dades sensibles. Els comptes de demostració no estaven assegurats amb l'autenticació multifactor (MFA), a diferència dels sistemes corporatius de Snowflake. L'empresa va proporcionar indicadors de compromís (IoC) i va recomanar mitigacions per a l'activitat sospitosa del compte.
El ciberatac va afectar nombroses organitzacions, com ara Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank i State Farm. Santander Bank ha informat d'un accés no autoritzat a les seves bases de dades, cosa que compromet la informació dels clients i dels empleats. L'atac va afectar potencialment unes 400 organitzacions, i els atacants van exigir 20 milions de dòlars a Snowflake.
Resultats de la investigació
Els actors de l'amenaça van afirmar haver passat per alt les proteccions d'Okta i generat fitxes de sessió, cosa que els va permetre robar grans quantitats de dades. Els informes van indicar que més de 500 instàncies de l'entorn de demostració estaven compromeses. El Centre de seguretat cibernètica australià va reconèixer l'augment de l'activitat d'amenaça relacionada amb els entorns dels clients de Snowflake.
L'investigador de seguretat Kevin Beaumont va destacar que la fallada de Snowflake per utilitzar MFA en entorns de demostració i comptes d'empleats degudament segurs va contribuir a la violació. Els actors de l'amenaça, identificats com a adolescents actius a Telegram, van utilitzar robatoris d'informació per accedir a les bases de dades de Snowflake amb credencials robades.
Recomanacions per als clients de Snowflake/Tickmaster
Es recomana als clients que desactivin els comptes inactius, que s'assegurin que l'MFA estigui habilitat, que restableixin les credencials dels comptes actius i que segueixin les recomanacions de mitigació de Snowflake per protegir les seves dades.
La violació de dades de Ticketmaster, facilitada a través de Snowflake, subratlla la importància de mesures de seguretat sòlides, inclosa l'autenticació multifactorial i la gestió de credencials vigilant, per protegir-se de les amenaces cibernètiques sofisticades.