Ticketmaster kannatab Snowflake'i platvormi andmete rikkumise küberrünnaku all, mis ohustas kasutajaandmeid
Ticketmaster ja mitmed teised organisatsioonid kogesid Snowflake'i platvormi küberrünnaku tõttu olulist andmerikkumist. Turvateadlased teatasid, et varastati märkimisväärses koguses teavet, mis mõjutas miljoneid kasutajaid.
Sisukord
Rikkumise avastamine
Rikkumine jõudis avalikkuse tähelepanu alla, kui kurikuulus häkkimisrühmitus väitis, et eksfiltreeris 560 miljoni kasutaja andmed, nõudes teabe eest 500 000 dollarit. Ticketmasteri emaettevõte Live Nation Entertainment kinnitas rikkumist SEC-i dokumendis, paljastades volitamata juurdepääsu kolmanda osapoole pilvandmebaasile.
31. mail avalikustas Snowflake, et uurib küberintsidenti, mis mõjutas piiratud arvu kliente. Ohutegurid võtsid sihikule kliendikontod, kasutades ühefaktorilist autentimist ja kasutasid varem omandatud mandaate. Snowflake rõhutas, et puuduvad tõendid selle põhiplatvormi haavatavuse või rikkumise kohta.
Turvameetmed ja ettevõtte reaktsioon
Snowflake teatas, et rikutud volikirjad kuulusid endisele töötajale ja neid kasutati juurdepääsuks demokontodele, mis ei sisaldanud tundlikke andmeid. Erinevalt Snowflake'i ettevõttesüsteemidest ei olnud demokontod kaitstud mitmefaktorilise autentimisega (MFA). Ettevõte esitas kompromissinäitajad (IoC) ja soovitas leevendusi kahtlase kontotegevuse korral.
Küberrünnak mõjutas paljusid organisatsioone, sealhulgas Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank ja State Farm. Santander Bank teatas volitamata juurdepääsust oma andmebaasidele, mis ohustas klientide ja töötajate teavet. Rünnak mõjutas potentsiaalselt umbes 400 organisatsiooni ja ründajad nõudsid Snowflake'ilt 20 miljonit dollarit.
Uurimise tulemused
Ohutegijad väitsid, et läksid mööda Okta kaitsest ja genereerisid seansimärke, võimaldades neil varastada tohutul hulgal andmeid. Aruanded näitasid, et üle 500 demokeskkonna eksemplari oli ohustatud. Austraalia küberturvakeskus tunnistas Snowflake'i kliendikeskkondadega seotud suurenenud ohuaktiivsust.
Turvateadlane Kevin Beaumont rõhutas, et rikkumisele aitas kaasa see, et Snowflake ei kasutanud demokeskkondades ja korralikult turvalistes töötajate kontodes MFA-d. Telegramis aktiivsete teismelistena tuvastatud ohus osalejad kasutasid varastatud mandaatidega Snowflake'i andmebaasidele juurdepääsuks infovarastajaid.
Soovitused Snowflake/Tickmasteri klientidele
Klientidel soovitatakse keelata passiivsed kontod, veenduda, et MFA on lubatud, lähtestada aktiivsete kontode mandaadid ja järgida oma andmete kaitsmiseks Snowflake'i leevendussoovitusi.
Ticketmasteri andmete rikkumine, mida soodustas Snowflake, rõhutab tugevate turvameetmete, sealhulgas mitmefaktorilise autentimise ja valvsa mandaadihalduse tähtsust, et kaitsta end keeruliste küberohtude eest.