O Ticketmaster Sofreu um AtaqueCibernético de Violação de Dados na Plataforma Snowflake que Comprometeu Dados dos Usuários
A Ticketmaster, juntamente com várias outras organizações, sofreu uma violação significativa de dados devido a um ataque cibernético na plataforma Snowflake. Pesquisadores de segurança relataram que quantidades substanciais de informações foram roubadas, impactando milhões de usuários.
Índice
A Descoberta da Violação
A violação chamou a atenção do público quando um notório grupo de hackers alegou ter exfiltrado os dados de 560 milhões de usuários, exigindo US$ 500 mil pelas informações. A Live Nation Entertainment, controladora da Ticketmaster, confirmou a violação em um documento da SEC, revelando acesso não autorizado a um banco de dados em nuvem de terceiros.
Em 31 de maio, a Snowflake revelou que estava investigando um incidente cibernético que afetou um número limitado de clientes. Os agentes da ameaça visaram contas de clientes usando autenticação de fator único e aproveitaram credenciais obtidas anteriormente. Snowflake enfatizou que não há evidências de vulnerabilidade ou violação de sua plataforma principal.
Medidas de Segurança e Resposta da Empresa
Snowflake afirmou que as credenciais comprometidas pertenciam a um ex-funcionário e foram usadas para acessar contas demo, que não continham dados confidenciais. As contas demo não eram protegidas com autenticação multifator (MFA), ao contrário dos sistemas corporativos da Snowflake. A empresa forneceu indicadores de comprometimento (IoCs) e recomendou mitigações para atividades suspeitas de contas.
O ataque cibernético afetou inúmeras organizações, incluindo Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank e State Farm. O Banco Santander reportou acesso não autorizado às suas bases de dados, comprometendo informações de clientes e funcionários. O ataque impactou potencialmente cerca de 400 organizações, com os invasores exigindo US$ 20 milhões da Snowflake.
Descobertas Investigativas
Os atores da ameaça alegaram ter contornado as proteções do Okta e gerado tokens de sessão, permitindo-lhes roubar grandes quantidades de dados. Os relatórios indicaram que mais de 500 instâncias do ambiente de demonstração foram comprometidas. O Centro Australiano de Segurança Cibernética reconheceu o aumento da atividade de ameaças relacionadas aos ambientes de clientes Snowflake.
O pesquisador de segurança Kevin Beaumont destacou que a falha da Snowflake em usar MFA em ambientes de demonstração e em contas de funcionários devidamente seguras contribuiu para a violação. Os atores da ameaça, identificados como adolescentes ativos no Telegram, usaram infostealers para acessar bancos de dados Snowflake com credenciais roubadas.
Recomendações para os Clientes do Snowflake/Tickmaster
Os clientes são aconselhados a desabilitar contas inativas, garantir que a MFA esteja habilitada, redefinir credenciais para contas ativas e seguir as recomendações de mitigação da Snowflake para proteger seus dados.
A violação de dados da Ticketmaster, facilitada pelo Snowflake, ressalta a importância de medidas de segurança robustas, incluindo autenticação multifatorial e gerenciamento vigilante de credenciais, para proteção contra ameaças cibernéticas sofisticadas.