Ticketmaster udsættes for databrud på Snowflake-platformens cyberangreb, der kompromitterede brugerdata
Ticketmaster oplevede sammen med flere andre organisationer et betydeligt databrud på grund af et cyberangreb på Snowflake-platformen. Sikkerhedsforskere rapporterede, at betydelige mængder information blev stjålet, hvilket påvirkede millioner af brugere.
Indholdsfortegnelse
Opdagelsen af bruddet
Bruddet kom til offentlig opmærksomhed, da en berygtet hackergruppe hævdede at have eksfiltreret data fra 560 millioner brugere og krævede $500.000 for oplysningerne. Live Nation Entertainment, Ticketmasters moderselskab, bekræftede bruddet i en SEC-fil, der afslørede uautoriseret adgang til en tredjeparts cloud-database.
Den 31. maj afslørede Snowflake, at det efterforskede en cyberhændelse, der påvirker et begrænset antal kunder. Trusselsaktørerne målrettede kundekonti ved hjælp af enkeltfaktorgodkendelse og udnyttede tidligere opnåede legitimationsoplysninger. Snowflake understregede, at der ikke var beviser for en sårbarhed eller brud på dens kerneplatform.
Sikkerhedsforanstaltninger og virksomhedens reaktion
Snowflake udtalte, at de kompromitterede legitimationsoplysninger tilhørte en tidligere medarbejder og blev brugt til at få adgang til demokonti, som ikke indeholdt følsomme data. Demo-kontiene var ikke sikret med multi-factor authentication (MFA), i modsætning til Snowflakes virksomhedssystemer. Virksomheden leverede indikatorer for kompromis (IoC'er) og anbefalede afhjælpning af mistænkelig kontoaktivitet.
Cyberangrebet ramte adskillige organisationer, herunder Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank og State Farm. Santander Bank rapporterede uautoriseret adgang til sine databaser, hvilket kompromitterede kunde- og medarbejderoplysninger. Angrebet påvirkede potentielt omkring 400 organisationer, hvor angriberne krævede $20 millioner fra Snowflake.
Undersøgelsesfund
Trusselaktører hævdede at have omgået Okta-beskyttelser og genereret sessionstokens, så de kunne stjæle enorme mængder data. Rapporter indikerede, at over 500 demomiljøer var kompromitteret. Australian Cyber Security Center anerkendte den øgede trusselaktivitet relateret til Snowflake-kundemiljøer.
Sikkerhedsforsker Kevin Beaumont fremhævede, at Snowflakes manglende brug af MFA på demomiljøer og korrekt sikre medarbejderkonti bidrog til bruddet. Trusselsaktørerne, identificeret som teenagere aktive på Telegram, brugte infostealere til at få adgang til Snowflake-databaser med stjålne legitimationsoplysninger.
Anbefalinger til Snowflake/Tickmaster-kunder
Kunder rådes til at deaktivere inaktive konti, sikre, at MFA er aktiveret, nulstille legitimationsoplysninger for aktive konti og følge Snowflakes anbefalinger for at beskytte deres data.
Ticketmaster-databruddet, der er faciliteret gennem Snowflake, understreger vigtigheden af robuste sikkerhedsforanstaltninger, herunder multi-faktor autentificering og årvågen legitimationsstyring, for at beskytte mod sofistikerede cybertrusler.