Ticketmaster kärsii Snowflake Platform -tietomurron kyberhyökkäyksestä, joka vaaransi käyttäjätietoja
Ticketmaster ja useat muut organisaatiot kokivat merkittävän tietomurron Snowflake-alustalla tapahtuneen kyberhyökkäyksen vuoksi. Tietoturvatutkijat raportoivat, että huomattavia määriä tietoa varastettiin, mikä vaikutti miljooniin käyttäjiin.
Sisällysluettelo
Rikkomuksen havaitseminen
Rikkomus tuli julkisuuteen, kun pahamaineinen hakkerointiryhmä väitti suodattaneensa 560 miljoonan käyttäjän tiedot ja vaati 500 000 dollaria tiedoista. Live Nation Entertainment, Ticketmasterin emoyhtiö, vahvisti rikkomuksen SEC-ilmoituksessa, paljastaen luvattoman pääsyn kolmannen osapuolen pilvitietokantaan.
31. toukokuuta Snowflake paljasti tutkivansa kybertapahtumaa, joka vaikutti rajoitettuun määrään asiakkaita. Uhkatoimijat kohdistuivat asiakastileihin käyttämällä yksivaiheista todennusta ja hyödyntäen aiemmin hankittuja tunnistetietoja. Snowflake korosti, että sen ydinalustan haavoittuvuudesta tai rikkomisesta ei ollut näyttöä.
Turvatoimenpiteet ja yrityksen vastaus
Lumihiutale ilmoitti, että vaarantuneet käyttäjätiedot kuuluivat entiselle työntekijälle ja niitä käytettiin demotileille, jotka eivät sisältäneet arkaluonteisia tietoja. Demotilejä ei suojattu monitekijätodennuksella (MFA), toisin kuin Snowflaken yritysjärjestelmissä. Yhtiö toimitti kompromissiindikaattoreita (IoC) ja suositteli lievennyksiä epäilyttävälle tilitoiminnalle.
Kyberhyökkäys vaikutti useisiin organisaatioihin, mukaan lukien Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank ja State Farm. Santander Bank ilmoitti luvattomasta pääsystä tietokantoihinsa, mikä vaaransi asiakkaiden ja työntekijöiden tiedot. Hyökkäys saattoi vaikuttaa noin 400 organisaatioon, ja hyökkääjät vaativat Snowflakelta 20 miljoonaa dollaria.
Tutkinnan havainnot
Uhkatoimijat väittivät ohittaneensa Okta-suojaukset ja luoneet istuntotunnuksia, mikä antoi heille mahdollisuuden varastaa valtavia määriä dataa. Raportit osoittivat, että yli 500 demoympäristön ilmentymää vaarantui. Australian Cyber Security Center myönsi Snowflake-asiakasympäristöihin liittyvän lisääntyneen uhkatoiminnan.
Tietoturvatutkija Kevin Beaumont korosti, että Snowflaken epäonnistuminen MFA:n käyttämisessä demoympäristöissä ja asianmukaisesti suojatuissa työntekijöiden tileissä vaikutti rikkomiseen. Uhkatoimijat, jotka tunnistettiin Telegramissa aktiivisiksi teini-ikäisiksi, käyttivät tietovarastoja päästäkseen lumihiutaletietokantoihin varastetuilla tunnuksilla.
Suosituksia Snowflake/Tickmaster-asiakkaille
Asiakkaita kehotetaan poistamaan käytöstä passiiviset tilit, varmistamaan, että MFA on käytössä, palauttamaan aktiivisten tilien tunnistetiedot ja noudattamaan Snowflaken torjuntasuosituksia tietojensa suojaamiseksi.
Ticketmaster-tietomurto, joka helpotti Snowflaken kautta, korostaa vankkojen turvatoimien merkitystä, mukaan lukien monitekijäinen todennus ja valppaana tunnistetietojen hallinta, suojatakseen kehittyneitä kyberuhkia vastaan.