Ticketmaster trpi kibernetički napad na platformu Snowflake koji je ugrozio podatke korisnika
Ticketmaster je, zajedno s brojnim drugim organizacijama, doživio značajnu povredu podataka zbog kibernetičkog napada na platformu Snowflake. Sigurnosni istraživači izvijestili su da su znatne količine informacija ukradene, što je utjecalo na milijune korisnika.
Sadržaj
Otkriće kršenja
Povreda je privukla pozornost javnosti kada je ozloglašena hakerska skupina tvrdila da je eksfiltrirala podatke 560 milijuna korisnika, tražeći 500.000 dolara za te informacije. Live Nation Entertainment, matična tvrtka Ticketmastera, potvrdila je provalu u prijavi SEC-a, otkrivajući neovlašteni pristup bazi podataka u oblaku treće strane.
Dana 31. svibnja, Snowflake je otkrio da istražuje cyber incident koji je utjecao na ograničeni broj kupaca. Akteri prijetnje ciljali su korisničke račune pomoću jednofaktorske autentifikacije i iskoristili prethodno dobivene vjerodajnice. Snowflake je naglasio da nema dokaza o ranjivosti ili kršenju njegove temeljne platforme.
Sigurnosne mjere i odgovor tvrtke
Snowflake je izjavio da su kompromitirane vjerodajnice pripadale bivšem zaposleniku i da su korištene za pristup demo računima, koji nisu sadržavali osjetljive podatke. Demo računi nisu bili zaštićeni višefaktorskom autentifikacijom (MFA), za razliku od Snowflakeovih korporativnih sustava. Tvrtka je pružila pokazatelje ugroženosti (IoC) i preporučila ublažavanje sumnjivih aktivnosti računa.
Kibernetički napad pogodio je brojne organizacije, uključujući Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank i State Farm. Banka Santander prijavila je neovlašteni pristup svojim bazama podataka, ugrožavajući podatke o klijentima i zaposlenicima. Napad je potencijalno pogodio oko 400 organizacija, a napadači su od Snowflake tražili 20 milijuna dolara.
Istražni nalazi
Akteri prijetnji su tvrdili da su zaobišli Okta zaštitu i generirali tokene sesije, što im je omogućilo krađu ogromnih količina podataka. Izvješća pokazuju da je više od 500 instanci demo okruženja bilo ugroženo. Australski centar za kibernetičku sigurnost priznao je povećanu aktivnost prijetnji u vezi s korisničkim okruženjima Snowflakea.
Istraživač sigurnosti Kevin Beaumont istaknuo je da je kršenju pridonijelo to što Snowflake nije koristio MFA u demo okruženjima i ispravno osigurao račune zaposlenika. Akteri prijetnje, identificirani kao tinejdžeri aktivni na Telegramu, koristili su kradljivce informacija za pristup bazama podataka Snowflake s ukradenim vjerodajnicama.
Preporuke za kupce Snowflake/Tickmaster
Korisnicima se savjetuje da onemoguće neaktivne račune, osiguraju da je MFA omogućen, ponište vjerodajnice za aktivne račune i slijede Snowflakeove preporuke za ublažavanje kako bi zaštitili svoje podatke.
Povreda podataka Ticketmastera, omogućena putem Snowflakea, naglašava važnost robusnih sigurnosnih mjera, uključujući autentifikaciju s više faktora i pažljivo upravljanje vjerodajnicama, za zaštitu od sofisticiranih cyber prijetnji.