Ticketmaster متحمل حمله سایبری نقض اطلاعات پلتفرم Snowflake شد که داده های کاربر را به خطر انداخت

Ticketmaster، همراه با چندین سازمان دیگر، به دلیل حمله سایبری به پلتفرم Snowflake، با نقض قابل توجه داده مواجه شد. محققان امنیتی گزارش دادند که مقادیر قابل توجهی از اطلاعات به سرقت رفته و میلیون ها کاربر را تحت تأثیر قرار داده است.

کشف نقض

این نقض زمانی مورد توجه عموم قرار گرفت که یک گروه هکر بدنام ادعا کرد که اطلاعات 560 میلیون کاربر را استخراج کرده و 500000 دلار برای این اطلاعات درخواست کرده است. Live Nation Entertainment، شرکت مادر Ticketmaster، نقض در پرونده SEC را تأیید کرد و دسترسی غیرمجاز به پایگاه داده ابری شخص ثالث را فاش کرد.

در 31 می، Snowflake فاش کرد که در حال بررسی یک حادثه سایبری است که بر تعداد محدودی از مشتریان تأثیر می گذارد. عوامل تهدید، حساب های مشتری را با استفاده از احراز هویت تک عاملی هدف قرار دادند و از اعتبارنامه های قبلاً به دست آمده استفاده کردند. Snowflake تاکید کرد که هیچ مدرکی دال بر آسیب پذیری یا نقض پلت فرم اصلی آن وجود ندارد.

اقدامات امنیتی و پاسخ شرکت

Snowflake اظهار داشت که اعتبارنامه‌های به خطر افتاده متعلق به یک کارمند سابق بوده و برای دسترسی به حساب‌های آزمایشی که حاوی داده‌های حساسی نیستند، استفاده شده است. حساب‌های آزمایشی برخلاف سیستم‌های شرکتی Snowflake با احراز هویت چند عاملی (MFA) ایمن نشدند. این شرکت شاخص‌هایی از سازش (IoCs) و اقدامات کاهشی را برای فعالیت‌های مشکوک حساب ارائه کرد.

این حمله سایبری سازمان‌های متعددی از جمله Anheuser-Busch، Allstate، Mitsubishi، Neiman Marcus، Progressive، Santander Bank و State Farm را تحت تأثیر قرار داد. بانک سانتاندر گزارش داد که دسترسی غیرمجاز به پایگاه‌های اطلاعاتی خود دارد و اطلاعات مشتریان و کارکنان را به خطر می‌اندازد. این حمله احتمالاً حدود 400 سازمان را تحت تأثیر قرار داد و مهاجمان 20 میلیون دلار از Snowflake طلب کردند.

یافته های تحقیقی

بازیگران تهدید ادعا می‌کردند که حفاظت‌های Okta را دور زده‌اند و توکن‌های جلسه تولید کرده‌اند و به آن‌ها اجازه می‌دهند حجم عظیمی از داده‌ها را سرقت کنند. گزارش ها حاکی از آن است که بیش از 500 نمونه محیط آزمایشی به خطر افتاده است. مرکز امنیت سایبری استرالیا افزایش فعالیت تهدید مربوط به محیط های مشتریان Snowflake را تایید کرد.

محقق امنیتی کوین بومونت تاکید کرد که شکست Snowflake در استفاده از MFA در محیط‌های نمایشی و حساب‌های کارمندان به درستی ایمن در این رخنه نقش داشته است. عوامل تهدید که به عنوان نوجوانان فعال در تلگرام شناخته می شوند، از دزدهای اطلاعاتی برای دسترسی به پایگاه داده های Snowflake با اعتبار سرقت شده استفاده می کردند.

توصیه هایی برای مشتریان Snowflake/Tickmaster

به مشتریان توصیه می‌شود حساب‌های غیرفعال را غیرفعال کنند، اطمینان حاصل کنند که MFA فعال است، اعتبارنامه‌های حساب‌های فعال را بازنشانی کنند، و توصیه‌های کاهش‌دهنده Snowflake را برای محافظت از داده‌های خود دنبال کنند.

نقض داده های Ticketmaster، که از طریق Snowflake تسهیل می شود، بر اهمیت اقدامات امنیتی قوی، از جمله احراز هویت چند عاملی و مدیریت هوشیارانه اعتبار، برای محافظت در برابر تهدیدات سایبری پیچیده تاکید می کند.