Ticketmaster ofiarą cyberataku polegającego na naruszeniu danych platformy Snowflake, który naruszył dane użytkownika
Ticketmaster wraz z wieloma innymi organizacjami doświadczył poważnego naruszenia bezpieczeństwa danych w wyniku cyberataku na platformę Snowflake. Badacze zajmujący się bezpieczeństwem zgłosili, że skradziono znaczne ilości informacji, co miało wpływ na miliony użytkowników.
Spis treści
Odkrycie naruszenia
Naruszenie wyszło na jaw, gdy osławiona grupa hakerska twierdziła, że wydobyła dane 560 milionów użytkowników, żądając za te informacje 500 000 dolarów. Live Nation Entertainment, spółka matka Ticketmaster, potwierdziła naruszenie w zgłoszeniu SEC, ujawniając nieautoryzowany dostęp do bazy danych w chmurze strony trzeciej.
31 maja firma Snowflake ujawniła, że bada incydent cybernetyczny, który dotknął ograniczoną liczbę klientów. Podmioty zagrażające atakowały konta klientów przy użyciu uwierzytelniania jednoskładnikowego i wykorzystywały wcześniej uzyskane dane uwierzytelniające. Snowflake podkreślił, że nie ma dowodów na istnienie luki w zabezpieczeniach lub naruszenia jej podstawowej platformy.
Środki bezpieczeństwa i reakcja firmy
Snowflake stwierdził, że zhakowane dane uwierzytelniające należały do byłego pracownika i zostały wykorzystane do uzyskania dostępu do kont demo, które nie zawierały wrażliwych danych. Konta demonstracyjne nie były zabezpieczone uwierzytelnianiem wieloskładnikowym (MFA), w przeciwieństwie do systemów korporacyjnych Snowflake. Firma przedstawiła wskaźniki naruszenia (IoC) i zaleciła środki zaradcze w przypadku podejrzanej aktywności na koncie.
Cyberatak dotknął wiele organizacji, w tym Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank i State Farm. Santander Bank zgłosił nieautoryzowany dostęp do swoich baz danych, w wyniku którego doszło do naruszenia informacji o klientach i pracownikach. Atak potencjalnie dotknął około 400 organizacji, a napastnicy żądali od Snowflake 20 milionów dolarów.
Ustalenia śledcze
Przestępcy twierdzili, że ominęli zabezpieczenia Okta i wygenerowali tokeny sesji, co umożliwiło im kradzież ogromnych ilości danych. Raporty wskazują, że ponad 500 instancji środowiska demonstracyjnego zostało naruszonych. Australijskie Centrum Bezpieczeństwa Cybernetycznego potwierdziło zwiększoną aktywność zagrożeń związaną ze środowiskami klientów Snowflake.
Badacz bezpieczeństwa Kevin Beaumont podkreślił, że do naruszenia przyczyniło się niezastosowanie przez firmę Snowflake usługi MFA w środowiskach demonstracyjnych oraz brak odpowiedniego zabezpieczenia kont pracowników. Osoby zagrażające, zidentyfikowane jako nastolatki aktywne w Telegramie, wykorzystywały osoby kradnące informacje, aby uzyskać dostęp do baz danych Snowflake przy użyciu skradzionych danych uwierzytelniających.
Zalecenia dla klientów Snowflake/Tickmaster
Klienci powinni wyłączyć nieaktywne konta, upewnić się, że usługa MFA jest włączona, zresetować poświadczenia dla aktywnych kont i postępować zgodnie z zaleceniami firmy Snowflake dotyczącymi środków zaradczych w celu ochrony swoich danych.
Naruszenie danych Ticketmaster, do którego przyczynił się Snowflake, podkreśla znaczenie solidnych środków bezpieczeństwa, w tym uwierzytelniania wieloskładnikowego i czujnego zarządzania danymi uwierzytelniającymi, w celu ochrony przed wyrafinowanymi zagrożeniami cybernetycznymi.