A Ticketmaster a Snowflake Platform adatvédelmi megsértését szenvedi el, a felhasználói adatokat veszélyeztető kibertámadást
A Ticketmaster több más szervezettel együtt jelentős adatszivárgáson esett át a Snowflake platformon történt kibertámadás miatt. A biztonsági kutatók arról számoltak be, hogy jelentős mennyiségű információt loptak el, ami több millió felhasználóra volt hatással.
Tartalomjegyzék
A jogsértés felfedezése
A jogsértés akkor került a nyilvánosság elé, amikor egy hírhedt hackercsoport azt állította, hogy 560 millió felhasználó adatait szivárogtatta ki, és 500 000 dollárt követelt az információért. A Live Nation Entertainment, a Ticketmaster anyavállalata megerősítette a jogsértést egy SEC-bejelentésben, amely feltárta a harmadik fél felhőadatbázisához való jogosulatlan hozzáférést.
Május 31-én a Snowflake nyilvánosságra hozta, hogy egy korlátozott számú ügyfelet érintő kiberincidenst vizsgál. A fenyegetés szereplői az ügyfélfiókokat egytényezős hitelesítéssel célozták meg, és korábban megszerzett hitelesítési adatokat használtak fel. A Snowflake hangsúlyozta, hogy nincs bizonyíték az alapplatform sebezhetőségére vagy megsértésére.
Biztonsági intézkedések és vállalati válasz
A Snowflake kijelentette, hogy a feltört hitelesítő adatok egy korábbi alkalmazotté voltak, és demószámlákhoz való hozzáférésre használták, amelyek nem tartalmaztak érzékeny adatokat. A demószámlákat nem védték többtényezős hitelesítéssel (MFA), ellentétben a Snowflake vállalati rendszereivel. A vállalat kompromittációs indikátorokat (IoC) biztosított, és enyhítéseket javasolt a gyanús fióktevékenység esetén.
A kibertámadás számos szervezetet érintett, köztük az Anheuser-Busch-ot, az Allstate-et, a Mitsubishit, a Neiman Marcust, a Progressive-t, a Santander Bankot és a State Farmot. A Santander Bank arról számolt be, hogy jogosulatlanul hozzáfértek adatbázisaihoz, ezzel veszélyeztetve az ügyfelek és alkalmazottak adatait. A támadás körülbelül 400 szervezetet érintett, a támadók 20 millió dollárt követeltek Snowflake-től.
Nyomozási eredmények
A fenyegetés szereplői azt állították, hogy megkerülték az Okta védelmeit, és munkamenet-tokeneket generáltak, lehetővé téve számukra, hogy hatalmas mennyiségű adatot lopjanak el. A jelentések szerint több mint 500 demókörnyezet-példány került veszélybe. Az Ausztrál Kiberbiztonsági Központ elismerte a Snowflake ügyfélkörnyezeteivel kapcsolatos fokozott fenyegetési tevékenységet.
Kevin Beaumont biztonsági kutató kiemelte, hogy a Snowflake nem használta az MFA-t a demókörnyezetekben és a megfelelően biztonságos alkalmazotti fiókokban, ami hozzájárult a jogsértéshez. A Telegramon aktív tinédzserként azonosított fenyegetett szereplők infolopók segítségével lopott hitelesítő adatokkal hozzáfértek Snowflake adatbázisaihoz.
Javaslatok a Snowflake/Tickmaster ügyfelek számára
Az ügyfeleknek azt tanácsoljuk, hogy tiltsák le az inaktív fiókokat, biztosítsák az MFA engedélyezését, állítsák vissza az aktív fiókok hitelesítő adatait, és kövessék a Snowflake enyhítő javaslatait adataik védelme érdekében.
A Ticketmaster adatszivárgása, amelyet a Snowflake segített, hangsúlyozza a robusztus biztonsági intézkedések fontosságát, beleértve a többtényezős hitelesítést és az éber hitelesítő adatok kezelését a kifinomult kiberfenyegetések elleni védelem érdekében.