Ticketmaster trpí kybernetickým útokom na platforme Snowflake, ktorý ohrozuje údaje používateľov
Ticketmaster, spolu s viacerými ďalšími organizáciami, zažili významné porušenie údajov v dôsledku kybernetického útoku na platformu Snowflake. Výskumníci v oblasti bezpečnosti uviedli, že bolo ukradnuté značné množstvo informácií, čo ovplyvnilo milióny používateľov.
Obsah
Objav priestupku
Narušenie sa dostalo do pozornosti verejnosti, keď notoricky známa hackerská skupina tvrdila, že exfiltrovala údaje 560 miliónov používateľov, pričom za informácie požadovala 500 000 dolárov. Live Nation Entertainment, materská spoločnosť spoločnosti Ticketmaster, potvrdila porušenie v podaní SEC a odhalila neoprávnený prístup do cloudovej databázy tretej strany.
31. mája spoločnosť Snowflake oznámila, že vyšetruje kybernetický incident, ktorý má vplyv na obmedzený počet zákazníkov. Aktéri hrozieb sa zamerali na zákaznícke účty pomocou jednofaktorovej autentifikácie a využívali predtým získané poverenia. Snowflake zdôraznil, že neexistujú žiadne dôkazy o zraniteľnosti alebo porušení jej základnej platformy.
Bezpečnostné opatrenia a reakcia spoločnosti
Snowflake uviedol, že napadnuté prihlasovacie údaje patrili bývalému zamestnancovi a boli použité na prístup k demo účtom, ktoré neobsahovali citlivé údaje. Demo účty neboli zabezpečené multifaktorovou autentifikáciou (MFA), na rozdiel od firemných systémov Snowflake. Spoločnosť poskytla indikátory kompromisu (IoC) a odporučila opatrenia na zmiernenie podozrivej aktivity na účte.
Kybernetický útok zasiahol mnohé organizácie vrátane Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank a State Farm. Santander Bank nahlásila neoprávnený prístup do svojich databáz, čím ohrozila informácie o zákazníkoch a zamestnancoch. Útok potenciálne zasiahol približne 400 organizácií, pričom útočníci požadovali od Snowflake 20 miliónov dolárov.
Vyšetrovacie zistenia
Aktéri hrozieb tvrdili, že obišli ochranu Okta a vygenerovali tokeny relácie, čo im umožnilo ukradnúť obrovské množstvo údajov. Správy uvádzajú, že bolo napadnutých viac ako 500 inštancií demo prostredia. Austrálske centrum kybernetickej bezpečnosti uznalo zvýšenú aktivitu hrozieb súvisiacu so zákazníckym prostredím Snowflake.
Bezpečnostný výskumník Kevin Beaumont zdôraznil, že k narušeniu bezpečnosti prispelo neschopnosť Snowflake použiť MFA v demo prostrediach a riadne zabezpečené účty zamestnancov. Aktéri hrozieb, identifikovaní ako tínedžeri aktívni na Telegrame, použili infostealers na prístup k databázam Snowflake s ukradnutými povereniami.
Odporúčania pre zákazníkov Snowflake/Tickmaster
Zákazníkom sa odporúča, aby zakázali neaktívne účty, ubezpečili sa, že je povolená MFA, obnovili prihlasovacie údaje pre aktívne účty a dodržiavali odporúčania Snowflake na ochranu svojich údajov.
Porušenie údajov Ticketmaster, ktoré umožňuje Snowflake, podčiarkuje dôležitosť robustných bezpečnostných opatrení vrátane viacfaktorovej autentifikácie a ostražitej správy poverení na ochranu pred sofistikovanými kybernetickými hrozbami.