Ticketmaster è stato vittima di un attacco informatico sulla piattaforma Snowflake che ha compromesso i dati degli utenti
Ticketmaster, insieme a numerose altre organizzazioni, ha subito una significativa violazione dei dati a causa di un attacco informatico sulla piattaforma Snowflake. I ricercatori di sicurezza hanno riferito che sono state rubate notevoli quantità di informazioni, colpendo milioni di utenti.
Sommario
Scoperta della violazione
La violazione è arrivata all'attenzione del pubblico quando un noto gruppo di hacker ha affermato di aver esfiltrato i dati di 560 milioni di utenti, chiedendo 500.000 dollari per le informazioni. Live Nation Entertainment, la società madre di Ticketmaster, ha confermato la violazione in un documento della SEC, rivelando l'accesso non autorizzato a un database cloud di terze parti.
Il 31 maggio Snowflake ha rivelato che stava indagando su un incidente informatico che aveva colpito un numero limitato di clienti. Gli autori delle minacce hanno preso di mira gli account dei clienti utilizzando l’autenticazione a fattore singolo e sfruttando le credenziali ottenute in precedenza. Snowflake ha sottolineato che non vi sono prove di vulnerabilità o violazione della sua piattaforma principale.
Misure di sicurezza e risposta aziendale
Snowflake ha affermato che le credenziali compromesse appartenevano a un ex dipendente e venivano utilizzate per accedere ad account demo, che non contenevano dati sensibili. Gli account demo non erano protetti con l'autenticazione a più fattori (MFA), a differenza dei sistemi aziendali di Snowflake. L'azienda ha fornito indicatori di compromissione (IoC) e ha consigliato misure di mitigazione per attività sospette sull'account.
L’attacco informatico ha colpito numerose organizzazioni, tra cui Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank e State Farm. Santander Bank ha segnalato un accesso non autorizzato ai propri database, compromettendo le informazioni di clienti e dipendenti. L’attacco ha potenzialmente avuto un impatto su circa 400 organizzazioni, con gli aggressori che hanno chiesto 20 milioni di dollari a Snowflake.
Risultati investigativi
Gli autori delle minacce hanno affermato di aver aggirato le protezioni di Okta e generato token di sessione, consentendo loro di rubare enormi quantità di dati. I rapporti hanno indicato che oltre 500 istanze dell'ambiente demo sono state compromesse. L’Australian Cyber Security Centre ha riconosciuto l’aumento dell’attività di minaccia correlata agli ambienti dei clienti Snowflake.
Il ricercatore di sicurezza Kevin Beaumont ha sottolineato che l'incapacità di Snowflake di utilizzare MFA in ambienti demo e di proteggere adeguatamente gli account dei dipendenti ha contribuito alla violazione. Gli autori delle minacce, identificati come adolescenti attivi su Telegram, hanno utilizzato infostealer per accedere ai database di Snowflake con credenziali rubate.
Raccomandazioni per i clienti Snowflake/Tickmaster
Si consiglia ai clienti di disabilitare gli account inattivi, assicurarsi che l'MFA sia abilitato, reimpostare le credenziali per gli account attivi e seguire i consigli di mitigazione di Snowflake per proteggere i propri dati.
La violazione dei dati di Ticketmaster, facilitata tramite Snowflake, sottolinea l’importanza di solide misure di sicurezza, tra cui l’autenticazione a più fattori e un’attenta gestione delle credenziali, per salvaguardarsi dalle sofisticate minacce informatiche.