Ticketmaster trpí kyberútokem narušení dat platformy Snowflake, který kompromituje uživatelská data
Ticketmaster spolu s mnoha dalšími organizacemi zaznamenal významný únik dat kvůli kybernetickému útoku na platformu Snowflake. Bezpečnostní výzkumníci oznámili, že bylo ukradeno značné množství informací, což mělo dopad na miliony uživatelů.
Obsah
Objev porušení
Narušení se dostalo do pozornosti veřejnosti, když notoricky známá hackerská skupina tvrdila, že exfiltrovala data 560 milionů uživatelů a požadovala za informace 500 000 dolarů. Live Nation Entertainment, mateřská společnost Ticketmaster, potvrdila porušení v podání SEC a odhalila neoprávněný přístup do cloudové databáze třetí strany.
31. května Snowflake prozradila, že vyšetřuje kybernetický incident, který se týká omezeného počtu zákazníků. Aktéři hrozeb se zaměřovali na zákaznické účty pomocí jednofaktorové autentizace a využívali dříve získané přihlašovací údaje. Snowflake zdůraznil, že neexistují žádné důkazy o zranitelnosti nebo porušení její základní platformy.
Bezpečnostní opatření a reakce společnosti
Snowflake uvedl, že kompromitované přihlašovací údaje patřily bývalému zaměstnanci a byly použity pro přístup k demo účtům, které neobsahovaly citlivá data. Demo účty nebyly zabezpečeny pomocí vícefaktorové autentizace (MFA), na rozdíl od podnikových systémů Snowflake. Společnost poskytla indikátory kompromisu (IoC) a doporučila zmírnění podezřelé aktivity na účtu.
Kybernetický útok zasáhl řadu organizací, včetně Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank a State Farm. Santander Bank oznámila neoprávněný přístup do svých databází, kompromitující informace o zákaznících a zaměstnancích. Útok potenciálně zasáhl přibližně 400 organizací, přičemž útočníci požadovali od Snowflake 20 milionů dolarů.
Vyšetřovací nálezy
Aktéři hrozeb tvrdili, že obešli ochrany Okta a vygenerovali tokeny relace, což jim umožnilo ukrást obrovské množství dat. Zprávy uváděly, že bylo ohroženo více než 500 instancí ukázkového prostředí. Australské centrum kybernetické bezpečnosti uznalo zvýšenou aktivitu hrozeb souvisejících se zákaznickým prostředím Snowflake.
Bezpečnostní výzkumník Kevin Beaumont zdůraznil, že k narušení přispělo neschopnost Snowflake používat MFA v demo prostředích a řádně zabezpečené účty zaměstnanců. Aktéři hrozeb, identifikovaní jako teenageři aktivní na Telegramu, používali infostealery k přístupu k databázím Snowflake s ukradenými přihlašovacími údaji.
Doporučení pro zákazníky Snowflake/Tickmaster
Zákazníkům se doporučuje, aby deaktivovali neaktivní účty, zajistili, že je povoleno MFA, resetovali přihlašovací údaje pro aktivní účty a dodržovali doporučení Snowflake ke zmírnění ochrany svých dat.
Narušení dat Ticketmaster, usnadněné prostřednictvím Snowflake, podtrhuje důležitost robustních bezpečnostních opatření, včetně vícefaktorové autentizace a ostražité správy pověření, pro ochranu před sofistikovanými kybernetickými hrozbami.