Ticketmaster는 사용자 데이터를 손상시키는 Snowflake 플랫폼 데이터 침해 사이버 공격을 겪었습니다.

Ticketmaster는 다른 여러 조직과 함께 Snowflake 플랫폼에 대한 사이버 공격으로 인해 심각한 데이터 유출을 경험했습니다. 보안 연구원들은 상당한 양의 정보가 도난당하여 수백만 명의 사용자에게 영향을 미쳤다고 보고했습니다.

위반 발견

이번 침해는 악명 높은 해킹 그룹이 5억 6천만 명의 사용자 데이터를 유출하고 정보 대가로 50만 달러를 요구하면서 대중의 관심을 끌었습니다. Ticketmaster의 모회사인 Live Nation Entertainment는 SEC 신고서에서 제3자 클라우드 데이터베이스에 대한 무단 액세스를 밝혀낸 위반 사실을 확인했습니다.

5월 31일 Snowflake는 제한된 수의 고객에게 영향을 미치는 사이버 사고를 조사하고 있다고 밝혔습니다. 위협 행위자는 단일 요소 인증을 사용하고 이전에 획득한 자격 증명을 활용하여 고객 계정을 표적으로 삼았습니다. Snowflake는 핵심 플랫폼의 취약점이나 위반에 대한 증거가 없다고 강조했습니다.

보안조치 및 회사의 대응

Snowflake는 손상된 자격 증명이 전 직원의 것이며 민감한 데이터가 포함되지 않은 데모 계정에 액세스하는 데 사용되었다고 밝혔습니다. 데모 계정은 Snowflake의 기업 시스템과 달리 다단계 인증(MFA)으로 보호되지 않았습니다. 회사는 의심스러운 계정 활동에 대한 침해 지표(IoC)와 권장 완화 조치를 제공했습니다.

사이버 공격은 Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank 및 State Farm을 포함한 수많은 조직에 영향을 미쳤습니다. Santander Bank는 데이터베이스에 대한 무단 액세스로 인해 고객 및 직원 정보가 손상되었다고 보고했습니다. 이 공격은 잠재적으로 약 400개 조직에 영향을 미쳤으며 공격자는 Snowflake로부터 2천만 달러를 요구했습니다.

조사 결과

위협 행위자들은 Okta 보호 기능을 우회하고 세션 토큰을 생성하여 막대한 양의 데이터를 훔쳤다고 주장했습니다. 보고서에 따르면 500개가 넘는 데모 환경 인스턴스가 손상되었습니다. 호주 사이버 보안 센터는 Snowflake 고객 환경과 관련된 위협 활동이 증가하고 있음을 인정했습니다.

보안 연구원 Kevin Beaumont는 Snowflake가 데모 환경에서 MFA를 사용하지 못하고 직원 계정을 적절하게 보호하지 못한 것이 침해의 원인이었다고 강조했습니다. Telegram에서 활동하는 10대들로 확인된 위협 행위자들은 Infostealer를 사용하여 훔친 자격 증명으로 Snowflake 데이터베이스에 액세스했습니다.

Snowflake/Tickmaster 고객을 위한 권장사항

고객은 비활성 계정을 비활성화하고, MFA가 활성화되었는지 확인하고, 활성 계정에 대한 자격 증명을 재설정하고, Snowflake의 완화 권장 사항에 따라 데이터를 보호하는 것이 좋습니다.

Snowflake를 통해 촉진된 Ticketmaster 데이터 침해는 정교한 사이버 위협으로부터 보호하기 위해 다중 요소 인증 및 경계적인 자격 증명 관리를 포함한 강력한 보안 조치의 중요성을 강조합니다.