Ticketmaster lider av databrudd på Snowflake-plattformen Cyberangrep som kompromitterte brukerdata
Ticketmaster, sammen med flere andre organisasjoner, opplevde et betydelig datainnbrudd på grunn av et nettangrep på Snowflake-plattformen. Sikkerhetsforskere rapporterte at betydelige mengder informasjon ble stjålet, og påvirket millioner av brukere.
Innholdsfortegnelse
Oppdagelsen av bruddet
Bruddet kom til offentlig oppmerksomhet da en beryktet hackergruppe hevdet å ha eksfiltrert dataene til 560 millioner brukere, og krevde 500 000 dollar for informasjonen. Live Nation Entertainment, Ticketmasters morselskap, bekreftet bruddet i en SEC-fil, som avslører uautorisert tilgang til en tredjeparts skydatabase.
31. mai avslørte Snowflake at de undersøkte en cyberhendelse som påvirker et begrenset antall kunder. Trusselaktørene målrettet kundekontoer ved å bruke enkeltfaktorautentisering og utnyttet tidligere innhentet legitimasjon. Snowflake understreket at det ikke var bevis for en sårbarhet eller brudd på kjerneplattformen.
Sikkerhetstiltak og selskapets respons
Snowflake uttalte at den kompromitterte legitimasjonen tilhørte en tidligere ansatt og ble brukt til å få tilgang til demokontoer, som ikke inneholdt sensitive data. Demokontoene var ikke sikret med multifaktorautentisering (MFA), i motsetning til Snowflakes bedriftssystemer. Selskapet ga indikatorer på kompromiss (IoCs) og anbefalte avbøtende tiltak for mistenkelig kontoaktivitet.
Nettangrepet påvirket en rekke organisasjoner, inkludert Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank og State Farm. Santander Bank rapporterte uautorisert tilgang til databasene sine, og kompromitterte kunde- og ansatteinformasjon. Angrepet påvirket potensielt rundt 400 organisasjoner, og angriperne krevde 20 millioner dollar fra Snowflake.
Undersøkende funn
Trusselaktører hevdet å ha omgått Okta-beskyttelser og generert økttokens, slik at de kunne stjele enorme mengder data. Rapporter indikerte at over 500 demomiljøforekomster ble kompromittert. Australian Cyber Security Center erkjente den økte trusselaktiviteten knyttet til Snowflake-kundemiljøer.
Sikkerhetsforsker Kevin Beaumont fremhevet at Snowflakes unnlatelse av å bruke MFA på demomiljøer og riktig sikre medarbeiderkontoer bidro til bruddet. Trusselaktørene, identifisert som tenåringer aktive på Telegram, brukte infotyvere for å få tilgang til Snowflake-databaser med stjålet legitimasjon.
Anbefalinger for Snowflake/Tickmaster-kunder
Kunder anbefales å deaktivere inaktive kontoer, sørge for at MFA er aktivert, tilbakestille legitimasjon for aktive kontoer og følge Snowflakes anbefalinger for å beskytte dataene deres.
Ticketmaster-databruddet, tilrettelagt gjennom Snowflake, understreker viktigheten av robuste sikkerhetstiltak, inkludert multifaktorautentisering og årvåken legitimasjonsadministrasjon, for å beskytte mot sofistikerte cybertrusler.