Το Ticketmaster υφίσταται παραβίαση δεδομένων πλατφόρμας Snowflake από κυβερνοεπίθεση που παραβίασε δεδομένα χρηστών
Η Ticketmaster, μαζί με πολλούς άλλους οργανισμούς, υπέστη σημαντική παραβίαση δεδομένων λόγω κυβερνοεπίθεσης στην πλατφόρμα Snowflake. Ερευνητές ασφαλείας ανέφεραν ότι εκλάπησαν σημαντικές ποσότητες πληροφοριών, επηρεάζοντας εκατομμύρια χρήστες.
Πίνακας περιεχομένων
Ανακάλυψη της παραβίασης
Η παραβίαση ήρθε στο φως της δημοσιότητας όταν μια διαβόητη ομάδα hacking ισχυρίστηκε ότι είχε διεισδύσει στα δεδομένα 560 εκατομμυρίων χρηστών, ζητώντας 500.000 δολάρια για τις πληροφορίες. Η Live Nation Entertainment, η μητρική εταιρεία του Ticketmaster, επιβεβαίωσε την παραβίαση σε μια κατάθεση της SEC, αποκαλύπτοντας μη εξουσιοδοτημένη πρόσβαση σε μια βάση δεδομένων cloud τρίτων.
Στις 31 Μαΐου, η Snowflake αποκάλυψε ότι διερευνούσε ένα περιστατικό στον κυβερνοχώρο που επηρέαζε περιορισμένο αριθμό πελατών. Οι φορείς απειλών στόχευαν λογαριασμούς πελατών χρησιμοποιώντας έλεγχο ταυτότητας ενός παράγοντα και αξιοποίησαν διαπιστευτήρια που είχαν αποκτήσει προηγουμένως. Ο Snowflake τόνισε ότι δεν υπάρχουν ενδείξεις ευπάθειας ή παραβίασης της βασικής του πλατφόρμας.
Μέτρα Ασφαλείας και Αντίδραση Εταιρείας
Ο Snowflake δήλωσε ότι τα παραβιασμένα διαπιστευτήρια ανήκαν σε έναν πρώην υπάλληλο και χρησιμοποιήθηκαν για πρόσβαση σε δοκιμαστικούς λογαριασμούς, οι οποίοι δεν περιείχαν ευαίσθητα δεδομένα. Οι δοκιμαστικοί λογαριασμοί δεν ήταν ασφαλισμένοι με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), σε αντίθεση με τα εταιρικά συστήματα του Snowflake. Η εταιρεία παρείχε δείκτες συμβιβασμού (IoCs) και συνέστησε μετριασμούς για ύποπτη δραστηριότητα λογαριασμού.
Η κυβερνοεπίθεση επηρέασε πολλούς οργανισμούς, συμπεριλαμβανομένων των Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank και State Farm. Η Santander Bank ανέφερε μη εξουσιοδοτημένη πρόσβαση στις βάσεις δεδομένων της, διακυβεύοντας πληροφορίες πελατών και εργαζομένων. Η επίθεση επηρέασε δυνητικά περίπου 400 οργανισμούς, με τους επιτιθέμενους να ζητούν 20 εκατομμύρια δολάρια από το Snowflake.
Ερευνητικά Ευρήματα
Οι ηθοποιοί των απειλών ισχυρίστηκαν ότι έχουν παρακάμψει τις προστασίες της Okta και δημιούργησαν διακριτικά συνεδρίας, επιτρέποντάς τους να κλέψουν τεράστιες ποσότητες δεδομένων. Οι αναφορές έδειξαν ότι περισσότερες από 500 παρουσίες περιβάλλοντος επίδειξης παραβιάστηκαν. Το Αυστραλιανό Κέντρο Κυβερνοασφάλειας αναγνώρισε την αυξημένη δραστηριότητα απειλών που σχετίζεται με περιβάλλοντα πελατών του Snowflake.
Ο ερευνητής ασφαλείας Kevin Beaumont τόνισε ότι η αποτυχία του Snowflake να χρησιμοποιήσει το MFA σε περιβάλλοντα επίδειξης και σωστά ασφαλείς λογαριασμούς υπαλλήλων συνέβαλε στην παραβίαση. Οι ηθοποιοί της απειλής, που ταυτοποιήθηκαν ως έφηβοι που δραστηριοποιούνται στο Telegram, χρησιμοποίησαν κλέφτες πληροφοριών για να αποκτήσουν πρόσβαση σε βάσεις δεδομένων Snowflake με κλεμμένα διαπιστευτήρια.
Συστάσεις για πελάτες Snowflake/Tickmaster
Συνιστάται στους πελάτες να απενεργοποιούν τους ανενεργούς λογαριασμούς, να διασφαλίζουν ότι το MFA είναι ενεργοποιημένο, να επαναφέρουν τα διαπιστευτήρια για ενεργούς λογαριασμούς και να ακολουθούν τις συστάσεις μετριασμού του Snowflake για την προστασία των δεδομένων τους.
Η παραβίαση δεδομένων Ticketmaster, που διευκολύνεται μέσω του Snowflake, υπογραμμίζει τη σημασία των ισχυρών μέτρων ασφαλείας, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων και της προσεκτικής διαχείρισης διαπιστευτηρίων, για προστασία από εξελιγμένες απειλές στον κυβερνοχώρο.