Ticketmaster suferă un atac cibernetic de încălcare a datelor pe platforma Snowflake, care a compromis datele utilizatorilor
Ticketmaster, împreună cu mai multe alte organizații, s-au confruntat cu o încălcare semnificativă a datelor din cauza unui atac cibernetic pe platforma Snowflake. Cercetătorii de securitate au raportat că au fost furate cantități substanțiale de informații, impactând milioane de utilizatori.
Cuprins
Descoperirea bresei
Încălcarea a intrat în atenția publicului când un grup de hacking notoriu a susținut că a exfiltrat datele a 560 de milioane de utilizatori, cerând 500.000 de dolari pentru informații. Live Nation Entertainment, compania-mamă a Ticketmaster, a confirmat încălcarea într-un dosar SEC, dezvăluind accesul neautorizat la o bază de date cloud terță parte.
Pe 31 mai, Snowflake a dezvăluit că investighează un incident cibernetic care afectează un număr limitat de clienți. Actorii amenințărilor au vizat conturile clienților folosind autentificarea cu un singur factor și au folosit acreditările obținute anterior. Snowflake a subliniat că nu există nicio dovadă a unei vulnerabilități sau a unei încălcări a platformei sale de bază.
Măsuri de securitate și răspunsul companiei
Snowflake a declarat că acreditările compromise au aparținut unui fost angajat și au fost folosite pentru a accesa conturi demo, care nu conțineau date sensibile. Conturile demo nu au fost securizate cu autentificare multifactor (MFA), spre deosebire de sistemele corporative de la Snowflake. Compania a furnizat indicatori de compromis (IoC) și a recomandat măsuri de atenuare pentru activitățile suspecte din cont.
Atacul cibernetic a afectat numeroase organizații, inclusiv Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank și State Farm. Santander Bank a raportat acces neautorizat la bazele de date, compromițând informațiile despre clienți și angajați. Atacul a afectat potențial aproximativ 400 de organizații, atacatorii cerând 20 de milioane de dolari de la Snowflake.
Constatări investigative
Actorii amenințărilor au susținut că au ocolit protecțiile Okta și au generat jetoane de sesiune, permițându-le să fure cantități masive de date. Rapoartele au indicat că peste 500 de instanțe de mediu demo au fost compromise. Centrul australian de securitate cibernetică a recunoscut creșterea activității amenințărilor legate de mediile clienților Snowflake.
Cercetătorul de securitate Kevin Beaumont a subliniat că eșecul lui Snowflake de a utiliza MFA în medii demonstrative și conturile de angajați securizate corespunzător a contribuit la încălcare. Actorii amenințărilor, identificați ca adolescenți activi pe Telegram, au folosit furturi de informații pentru a accesa bazele de date Snowflake cu acreditări furate.
Recomandări pentru clienții Snowflake/Tickmaster
Clienții sunt sfătuiți să dezactiveze conturile inactive, să se asigure că MFA este activat, să resetați acreditările pentru conturile active și să urmeze recomandările Snowflake de atenuare pentru a-și proteja datele.
Încălcarea datelor Ticketmaster, facilitată prin Snowflake, subliniază importanța măsurilor de securitate robuste, inclusiv autentificarea cu mai mulți factori și gestionarea vigilentă a acreditărilor, pentru a proteja împotriva amenințărilor cibernetice sofisticate.