Ticketmaster vuan nga shkelja e të dhënave të platformës Snowflake nga sulmi kibernetik që komprometoi të dhënat e përdoruesit
Ticketmaster, së bashku me shumë organizata të tjera, përjetuan një shkelje të konsiderueshme të të dhënave për shkak të një sulmi kibernetik në platformën Snowflake. Studiuesit e sigurisë raportuan se sasi të konsiderueshme informacioni ishin vjedhur, duke ndikuar në miliona përdorues.
Tabela e Përmbajtjes
Zbulimi i Shkeljes
Shkelja erdhi në vëmendjen e publikut kur një grup famëkeq hakerimi pretendoi se kishte shfrytëzuar të dhënat e 560 milionë përdoruesve, duke kërkuar 500,000 dollarë për informacionin. Live Nation Entertainment, kompania mëmë e Ticketmaster, konfirmoi shkeljen në një dosje të SEC, duke zbuluar qasje të paautorizuar në një bazë të dhënash cloud të palëve të treta.
Më 31 maj, Snowflake zbuloi se po hetonte një incident kibernetik që prek një numër të kufizuar klientësh. Aktorët e kërcënimit synuan llogaritë e klientëve duke përdorur vërtetimin me një faktor dhe shfrytëzuan kredencialet e marra më parë. Snowflake theksoi se nuk kishte asnjë provë për një cenueshmëri ose shkelje të platformës së saj kryesore.
Masat e Sigurisë dhe Përgjigja e Kompanisë
Snowflake deklaroi se kredencialet e komprometuara i përkisnin një ish-punonjësi dhe u përdorën për të hyrë në llogaritë demo, të cilat nuk përmbanin të dhëna të ndjeshme. Llogaritë demo nuk u siguruan me vërtetim me shumë faktorë (MFA), ndryshe nga sistemet e korporatave të Snowflake. Kompania ofroi tregues të kompromisit (IoCs) dhe rekomandoi zbutje për aktivitetin e dyshimtë të llogarisë.
Sulmi kibernetik preku shumë organizata, duke përfshirë Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank dhe State Farm. Santander Bank raportoi akses të paautorizuar në bazat e të dhënave të saj, duke kompromentuar informacionin e klientëve dhe punonjësve. Sulmi ndikoi potencialisht rreth 400 organizata, me sulmuesit që kërkuan 20 milionë dollarë nga Snowflake.
Gjetjet hetimore
Aktorët e kërcënimit pretenduan se kishin anashkaluar mbrojtjen e Okta-s dhe gjeneruan tokena sesionesh, duke i lejuar ata të vjedhin sasi masive të të dhënave. Raportet treguan se mbi 500 raste të mjedisit demo ishin komprometuar. Qendra Australiane e Sigurisë Kibernetike pranoi rritjen e aktivitetit të kërcënimit në lidhje me mjediset e klientëve të Snowflake.
Studiuesi i sigurisë Kevin Beaumont theksoi se dështimi i Snowflake për të përdorur MFA në mjediset demo dhe llogaritë e punonjësve të sigurta siç duhet kontribuoi në shkelje. Aktorët e kërcënimit, të identifikuar si adoleshentë aktivë në Telegram, përdorën info vjedhës për të hyrë në bazat e të dhënave të Snowflake me kredencialet e vjedhura.
Rekomandime për klientët e Snowflake/Tickmaster
Klientët këshillohen të çaktivizojnë llogaritë joaktive, të sigurohen që MFA të jetë aktivizuar, të rivendosin kredencialet për llogaritë aktive dhe të ndjekin rekomandimet zbutëse të Snowflake për të mbrojtur të dhënat e tyre.
Shkelja e të dhënave të Ticketmaster, e lehtësuar përmes Snowflake, nënvizon rëndësinë e masave të forta të sigurisë, duke përfshirë vërtetimin me shumë faktorë dhe menaxhimin vigjilent të kredencialeve, për t'u mbrojtur kundër kërcënimeve të sofistikuara kibernetike.