„Ticketmaster“ patyrė „Snowflake“ platformos duomenų pažeidimą, kibernetinę ataką, dėl kurios buvo pažeisti vartotojo duomenys
„Ticketmaster“ kartu su keliomis kitomis organizacijomis patyrė didelį duomenų pažeidimą dėl kibernetinės atakos „Snowflake“ platformoje. Saugumo tyrėjai pranešė, kad buvo pavogtas didelis informacijos kiekis, kuris paveikė milijonus vartotojų.
Turinys
Pažeidimo atradimas
Pažeidimas sulaukė visuomenės dėmesio, kai liūdnai pagarsėjusi programišių grupė pareiškė, kad išfiltravo 560 milijonų vartotojų duomenis ir reikalavo 500 000 USD už informaciją. „Live Nation Entertainment“, pagrindinė „Ticketmaster“ įmonė, patvirtino pažeidimą SEC paraiškoje, atskleidė neteisėtą prieigą prie trečiosios šalies debesų duomenų bazės.
Gegužės 31 d. Snowflake paskelbė, kad tiria kibernetinį incidentą, paveikiantį ribotą skaičių klientų. Grėsmės veikėjai taikėsi į klientų paskyras naudodami vieno veiksnio autentifikavimą ir pasinaudojo anksčiau gautais kredencialais. „Snowflake“ pabrėžė, kad nėra jokių jos pagrindinės platformos pažeidžiamumo ar pažeidimo įrodymų.
Saugos priemonės ir įmonės atsakas
„Snowflake“ teigė, kad pažeisti kredencialai priklausė buvusiam darbuotojui ir buvo naudojami norint pasiekti demonstracines paskyras, kuriose nebuvo neskelbtinų duomenų. Demonstracinės sąskaitos nebuvo apsaugotos naudojant kelių veiksnių autentifikavimą (MFA), skirtingai nei „Snowflake“ įmonių sistemos. Bendrovė pateikė kompromiso rodiklius (IoC) ir rekomendavo sušvelninimo priemones dėl įtartinos paskyros veiklos.
Kibernetinė ataka paveikė daugybę organizacijų, įskaitant „Anheuser-Busch“, „Allstate“, „Mitsubishi“, „Neiman Marcus“, „Progressive“, „Santander Bank“ ir „State Farm“. „Santander Bank“ pranešė apie neteisėtą prieigą prie savo duomenų bazių, sukeldama pavojų klientų ir darbuotojų informacijai. Išpuolis galėjo paveikti apie 400 organizacijų, o užpuolikai iš Snowflake reikalavo 20 mln.
Tyrimo išvados
Grėsmės veikėjai teigė aplenkę „Okta“ apsaugą ir sugeneravę seanso žetonus, leidžiančius pavogti didžiulius duomenų kiekius. Ataskaitose nurodyta, kad buvo pažeista daugiau nei 500 demonstracinių aplinkos atvejų. Australijos kibernetinio saugumo centras pripažino padidėjusią grėsmę, susijusią su „Snowflake“ klientų aplinka.
Saugumo tyrinėtojas Kevinas Beaumontas pabrėžė, kad „Snowflake“ nesugebėjimas naudoti MFA demonstracinėse aplinkose ir tinkamai saugiose darbuotojų paskyrose prisidėjo prie pažeidimo. Grėsmės veikėjai, identifikuoti kaip paaugliai, aktyviai veikiantys „Telegram“, naudojo informacijos vagystes, kad pasiektų „Snowflake“ duomenų bazes su pavogtais kredencialais.
Rekomendacijos Snowflake/Tickmaster klientams
Klientams patariama išjungti neaktyvias paskyras, įsitikinti, kad MFA įgalinta, iš naujo nustatyti aktyvių paskyrų kredencialus ir laikytis „Snowflake“ rekomendacijų, kaip apsaugoti savo duomenis.
„Ticketmaster“ duomenų pažeidimas, kurį palengvino „Snowflake“, pabrėžia patikimų saugumo priemonių, įskaitant kelių veiksnių autentifikavimą ir budrų kredencialų valdymą, svarbą, siekiant apsisaugoti nuo sudėtingų kibernetinių grėsmių.