Ticketmaster heeft te maken met een datalek op het Snowflake-platform, een cyberaanval waarbij gebruikersgegevens in gevaar zijn gebracht
Ticketmaster heeft, samen met meerdere andere organisaties, te maken gehad met een aanzienlijk datalek als gevolg van een cyberaanval op het Snowflake-platform. Beveiligingsonderzoekers meldden dat aanzienlijke hoeveelheden informatie werden gestolen, met gevolgen voor miljoenen gebruikers.
Inhoudsopgave
Ontdekking van de inbreuk
De inbreuk kwam onder de publieke aandacht toen een beruchte hackgroep beweerde de gegevens van 560 miljoen gebruikers te hebben geëxfiltreerd en $ 500.000 voor de informatie eiste. Live Nation Entertainment, het moederbedrijf van Ticketmaster, bevestigde de inbreuk in een SEC-aanvraag, waarbij ongeoorloofde toegang tot een clouddatabase van derden werd onthuld.
Op 31 mei maakte Snowflake bekend dat het onderzoek deed naar een cyberincident waarbij een beperkt aantal klanten betrokken was. De bedreigingsactoren richtten zich op klantaccounts met behulp van single-factor authenticatie en maakten gebruik van eerder verkregen inloggegevens. Snowflake benadrukte dat er geen bewijs is van een kwetsbaarheid of inbreuk op zijn kernplatform.
Beveiligingsmaatregelen en reactie van het bedrijf
Snowflake verklaarde dat de gecompromitteerde inloggegevens toebehoorden aan een voormalige werknemer en werden gebruikt om toegang te krijgen tot demo-accounts, die geen gevoelige gegevens bevatten. De demo-accounts waren niet beveiligd met multi-factor authenticatie (MFA), in tegenstelling tot de bedrijfssystemen van Snowflake. Het bedrijf verstrekte indicatoren van compromissen (IoC's) en adviseerde oplossingen voor verdachte accountactiviteiten.
De cyberaanval trof talloze organisaties, waaronder Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank en State Farm. Santander Bank meldde ongeautoriseerde toegang tot haar databases, waardoor klant- en werknemersinformatie in gevaar kwam. De aanval had mogelijk gevolgen voor ongeveer 400 organisaties, waarbij de aanvallers 20 miljoen dollar van Snowflake eisten.
Onderzoeksbevindingen
Bedreigingsactoren beweerden de Okta-beveiligingen te hebben omzeild en sessietokens te hebben gegenereerd, waardoor ze enorme hoeveelheden gegevens konden stelen. Uit rapporten bleek dat meer dan 500 exemplaren van de demo-omgeving waren gecompromitteerd. Het Australian Cyber Security Center erkende de toegenomen dreigingsactiviteit met betrekking tot Snowflake-klantomgevingen.
Beveiligingsonderzoeker Kevin Beaumont benadrukte dat het onvermogen van Snowflake om MFA te gebruiken in demo-omgevingen en goed beveiligde werknemersaccounts heeft bijgedragen aan de inbreuk. De bedreigingsactoren, geïdentificeerd als tieners die actief zijn op Telegram, gebruikten infostealers om toegang te krijgen tot Snowflake-databases met gestolen inloggegevens.
Aanbevelingen voor Snowflake/Tickmaster-klanten
Klanten wordt geadviseerd om inactieve accounts uit te schakelen, ervoor te zorgen dat MFA is ingeschakeld, de inloggegevens voor actieve accounts opnieuw in te stellen en de aanbevelingen van Snowflake op te volgen om hun gegevens te beschermen.
Het datalek bij Ticketmaster, gefaciliteerd door Snowflake, onderstreept het belang van robuuste beveiligingsmaatregelen, waaronder multi-factor authenticatie en waakzaam beheer van inloggegevens, om bescherming te bieden tegen geavanceerde cyberdreigingen.