Ticketmaster пострадал от кибератаки на платформе Snowflake, которая скомпрометировала данные пользователей
Ticketmaster, как и многие другие организации, столкнулись с серьезной утечкой данных из-за кибератаки на платформу Snowflake. Исследователи безопасности сообщили, что значительные объемы информации были украдены, что затронуло миллионы пользователей.
Оглавление
Обнаружение нарушения
Нарушение привлекло внимание общественности, когда пресловутая хакерская группа заявила, что украла данные 560 миллионов пользователей, потребовав за информацию 500 000 долларов. Live Nation Entertainment, материнская компания Ticketmaster, подтвердила нарушение в документации SEC, раскрывая несанкционированный доступ к сторонней облачной базе данных.
31 мая Snowflake сообщила, что расследует киберинцидент, затронувший ограниченное число клиентов. Злоумышленники атаковали учетные записи клиентов, используя однофакторную аутентификацию и ранее полученные учетные данные. Snowflake подчеркнула, что не было никаких доказательств уязвимости или взлома ее основной платформы.
Меры безопасности и реакция компании
Snowflake заявила, что скомпрометированные учетные данные принадлежали бывшему сотруднику и использовались для доступа к демо-аккаунтам, которые не содержали конфиденциальных данных. Демо-счета не были защищены многофакторной аутентификацией (MFA), в отличие от корпоративных систем Snowflake. Компания предоставила индикаторы компрометации (IoC) и рекомендовала меры по снижению подозрительной активности учетной записи.
Кибератака затронула множество организаций, в том числе Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank и State Farm. Банк Сантандер сообщил о несанкционированном доступе к его базам данных, что привело к компрометации информации о клиентах и сотрудниках. Атака потенциально затронула около 400 организаций, при этом злоумышленники потребовали от Snowflake 20 миллионов долларов.
Результаты расследования
Злоумышленники утверждали, что им удалось обойти защиту Okta и сгенерировать токены сеанса, что позволило им украсть огромные объемы данных. В отчетах указано, что было взломано более 500 экземпляров демонстрационной среды. Австралийский центр кибербезопасности признал рост активности угроз, связанных с средами клиентов Snowflake.
Исследователь безопасности Кевин Бомонт подчеркнул, что неспособность Snowflake использовать MFA в демонстрационных средах и должным образом защитить учетные записи сотрудников способствовала взлому. Злоумышленники, идентифицированные как подростки, активные в Telegram, использовали инфокрадов для доступа к базам данных Snowflake с украденными учетными данными.
Рекомендации для клиентов Snowflake/Tickmaster
Клиентам рекомендуется отключить неактивные учетные записи, убедиться, что MFA включен, сбросить учетные данные для активных учетных записей и следовать рекомендациям Snowflake по устранению последствий для защиты своих данных.
Утечка данных Ticketmaster, осуществленная с помощью Snowflake, подчеркивает важность надежных мер безопасности, включая многофакторную аутентификацию и бдительное управление учетными данными, для защиты от сложных киберугроз.