Ticketmaster utrpel kibernetski napad na platformo Snowflake, ki je ogrozil uporabniške podatke
Ticketmaster je skupaj s številnimi drugimi organizacijami doživel znatno kršitev podatkov zaradi kibernetskega napada na platformo Snowflake. Varnostni raziskovalci so poročali, da so bile ukradene znatne količine informacij, kar je vplivalo na milijone uporabnikov.
Kazalo
Odkritje kršitve
Kršitev je pritegnila pozornost javnosti, ko je razvpita hekerska skupina trdila, da je izbruhnila podatke 560 milijonov uporabnikov, in za informacije zahtevala 500.000 $. Live Nation Entertainment, matično podjetje Ticketmaster, je potrdilo kršitev v prijavi SEC, ki je razkrila nepooblaščen dostop do baze podatkov v oblaku tretje osebe.
31. maja je Snowflake razkril, da preiskuje kibernetski incident, ki je prizadel omejeno število strank. Akterji groženj so ciljali na račune strank z uporabo enofaktorske avtentikacije in izkoristili predhodno pridobljene poverilnice. Snowflake je poudaril, da ni dokazov o ranljivosti ali kršitvi njegove osnovne platforme.
Varnostni ukrepi in odziv podjetja
Snowflake je izjavil, da so ogrožene poverilnice pripadale nekdanjemu zaposlenemu in so bile uporabljene za dostop do demo računov, ki niso vsebovali občutljivih podatkov. Demo računi niso bili zavarovani z večfaktorsko avtentikacijo (MFA), za razliko od korporativnih sistemov Snowflake. Podjetje je zagotovilo indikatorje ogroženosti (IoC) in priporočilo ublažitve sumljivih dejavnosti v računu.
Kibernetski napad je prizadel številne organizacije, vključno z Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank in State Farm. Banka Santander je poročala o nepooblaščenem dostopu do svojih podatkovnih zbirk, ki je ogrozil podatke o strankah in zaposlenih. Napad bi lahko prizadel približno 400 organizacij, pri čemer so napadalci od Snowflake zahtevali 20 milijonov dolarjev.
Preiskovalne ugotovitve
Akterji groženj so trdili, da so zaobšli zaščito Okta in ustvarili žetone seje, kar jim je omogočilo krajo ogromnih količin podatkov. Poročila so pokazala, da je bilo ogroženih več kot 500 primerkov demo okolja. Avstralski center za kibernetsko varnost je priznal povečano dejavnost groženj, povezanih z uporabniškimi okolji Snowflake.
Varnostni raziskovalec Kevin Beaumont je poudaril, da je k vdoru prispevalo to, da Snowflake ni uporabil MFA v demo okoljih in ustrezno zaščitil račune zaposlenih. Akterji grožnje, identificirani kot najstniki, aktivni na Telegramu, so uporabljali infostealers za dostop do baz podatkov Snowflake z ukradenimi poverilnicami.
Priporočila za stranke Snowflake/Tickmaster
Strankam svetujemo, da onemogočijo neaktivne račune, zagotovijo, da je MFA omogočen, ponastavijo poverilnice za aktivne račune in upoštevajo priporočila družbe Snowflake za zaščito svojih podatkov.
Kršitev podatkov Ticketmaster, ki jo omogoča Snowflake, poudarja pomen robustnih varnostnih ukrepov, vključno z večfaktorsko avtentikacijo in skrbnim upravljanjem poverilnic, za zaščito pred sofisticiranimi kibernetskimi grožnjami.