Ticketmaster drabbas av dataintrång i Snowflake-plattformen Cyberattack som äventyrar användardata
Ticketmaster, tillsammans med flera andra organisationer, upplevde ett betydande dataintrång på grund av en cyberattack på Snowflake-plattformen. Säkerhetsforskare rapporterade att betydande mängder information stals, vilket påverkade miljontals användare.
Innehållsförteckning
Upptäckten av intrånget
Intrånget kom till allmänhetens uppmärksamhet när en ökända hackergrupp påstod sig ha exfiltrerat data från 560 miljoner användare och krävde 500 000 dollar för informationen. Live Nation Entertainment, Ticketmasters moderbolag, bekräftade intrånget i en SEC-fil och avslöjade obehörig åtkomst till en tredjeparts molndatabas.
Den 31 maj avslöjade Snowflake att man undersökte en cyberincident som påverkar ett begränsat antal kunder. Hotaktörerna riktade in sig på kundkonton med enfaktorsautentisering och utnyttjade tidigare erhållna referenser. Snowflake betonade att det inte fanns några bevis för en sårbarhet eller brott mot dess kärnplattform.
Säkerhetsåtgärder och företagsrespons
Snowflake uppgav att de komprometterade referenserna tillhörde en tidigare anställd och användes för att komma åt demokonton, som inte innehöll känslig data. Demokontona var inte säkrade med multi-factor authentication (MFA), till skillnad från Snowflakes företagssystem. Företaget tillhandahöll indikatorer på kompromisser (IoCs) och rekommenderade begränsningar för misstänkt kontoaktivitet.
Cyberattacken påverkade många organisationer, inklusive Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank och State Farm. Santander Bank rapporterade obehörig åtkomst till sina databaser, vilket äventyrade kund- och personalinformation. Attacken påverkade potentiellt cirka 400 organisationer, där angriparna krävde 20 miljoner dollar från Snowflake.
Utredningsresultat
Hotaktörer påstod sig ha kringgått Okta-skydd och genererat sessionstokens, vilket gjorde att de kunde stjäla enorma mängder data. Rapporter indikerade att över 500 demomiljöinstanser äventyrades. Australian Cyber Security Center erkände den ökade hotaktiviteten relaterad till Snowflakes kundmiljöer.
Säkerhetsforskaren Kevin Beaumont betonade att Snowflakes misslyckande med att använda MFA i demomiljöer och ordentligt säkra medarbetarkonton bidrog till intrånget. Hotaktörerna, identifierade som tonåringar aktiva på Telegram, använde infostealers för att komma åt Snowflake-databaser med stulna referenser.
Rekommendationer för Snowflake/Tickmaster-kunder
Kunder uppmanas att inaktivera inaktiva konton, se till att MFA är aktiverat, återställa autentiseringsuppgifter för aktiva konton och följa Snowflakes rekommendationer för att skydda sina data.
Ticketmaster-dataintrånget, som underlättas genom Snowflake, understryker vikten av robusta säkerhetsåtgärder, inklusive multifaktorautentisering och vaksam legitimationshantering, för att skydda mot sofistikerade cyberhot.