Ticketmaster ประสบกับการละเมิดข้อมูลแพลตฟอร์ม Snowflake การโจมตีทางไซเบอร์ที่ทำให้ข้อมูลผู้ใช้เสียหาย

Ticketmaster พร้อมด้วยองค์กรอื่นๆ หลายแห่ง ประสบปัญหาการละเมิดข้อมูลที่สำคัญเนื่องจากการโจมตีทางไซเบอร์บนแพลตฟอร์ม Snowflake นักวิจัยด้านความปลอดภัยรายงานว่าข้อมูลจำนวนมากถูกขโมย ส่งผลกระทบต่อผู้ใช้หลายล้านคน

การค้นพบการละเมิด

การละเมิดดังกล่าวได้รับความสนใจจากสาธารณชนเมื่อกลุ่มแฮ็กเกอร์ชื่อดังอ้างว่าได้ขโมยข้อมูลของผู้ใช้ 560 ล้านคน โดยเรียกร้องเงิน 500,000 ดอลลาร์สำหรับข้อมูลดังกล่าว Live Nation Entertainment ซึ่งเป็นบริษัทแม่ของ Ticketmaster ยืนยันการละเมิดในการยื่นฟ้องของ SEC โดยเปิดเผยการเข้าถึงฐานข้อมูลคลาวด์ของบุคคลที่สามโดยไม่ได้รับอนุญาต

เมื่อวันที่ 31 พฤษภาคม Snowflake เปิดเผยว่ากำลังสืบสวนเหตุการณ์ทางไซเบอร์ที่ส่งผลกระทบต่อลูกค้าในจำนวนจำกัด ผู้คุกคามมุ่งเป้าไปที่บัญชีลูกค้าโดยใช้การตรวจสอบสิทธิ์แบบปัจจัยเดียวและใช้ประโยชน์จากข้อมูลประจำตัวที่ได้รับก่อนหน้านี้ Snowflake เน้นย้ำว่าไม่มีหลักฐานที่แสดงถึงช่องโหว่หรือการละเมิดแพลตฟอร์มหลัก

มาตรการรักษาความปลอดภัยและการตอบสนองของบริษัท

Snowflake ระบุว่าข้อมูลประจำตัวที่ถูกบุกรุกเป็นของอดีตพนักงานและใช้เพื่อเข้าถึงบัญชีทดลองซึ่งไม่มีข้อมูลที่ละเอียดอ่อน บัญชีทดลองไม่ได้รับการรักษาความปลอดภัยด้วยการรับรองความถูกต้องแบบหลายปัจจัย (MFA) ซึ่งแตกต่างจากระบบองค์กรของ Snowflake บริษัทได้จัดทำตัวบ่งชี้การประนีประนอม (IoC) และการบรรเทาที่แนะนำสำหรับกิจกรรมบัญชีที่น่าสงสัย

การโจมตีทางไซเบอร์ส่งผลกระทบต่อองค์กรหลายแห่ง รวมถึง Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank และ State Farm Santander Bank รายงานว่ามีการเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต ส่งผลให้ข้อมูลลูกค้าและพนักงานเสียหาย การโจมตีดังกล่าวอาจส่งผลกระทบต่อองค์กรประมาณ 400 แห่ง โดยผู้โจมตีเรียกร้องเงิน 20 ล้านดอลลาร์จาก Snowflake

ผลการสอบสวน

ผู้คุกคามอ้างว่าได้เลี่ยงการป้องกันของ Okta และสร้างโทเค็นเซสชัน ทำให้พวกเขาขโมยข้อมูลจำนวนมหาศาลได้ รายงานระบุว่าอินสแตนซ์สภาพแวดล้อมสาธิตมากกว่า 500 รายการถูกบุกรุก Australian Cyber Security Center รับทราบกิจกรรมภัยคุกคามที่เพิ่มขึ้นที่เกี่ยวข้องกับสภาพแวดล้อมของลูกค้า Snowflake

นักวิจัยด้านความปลอดภัย Kevin Beaumont เน้นย้ำว่าความล้มเหลวของ Snowflake ในการใช้ MFA ในสภาพแวดล้อมสาธิตและการรักษาความปลอดภัยบัญชีพนักงานอย่างเหมาะสมนั้นมีส่วนทำให้เกิดการละเมิด ผู้ก่อภัยคุกคาม ซึ่งระบุว่าเป็นวัยรุ่นที่ใช้งาน Telegram ใช้โปรแกรมขโมยข้อมูลเพื่อเข้าถึงฐานข้อมูล Snowflake ด้วยข้อมูลประจำตัวที่ถูกขโมย

คำแนะนำสำหรับลูกค้า Snowflake/Tickmaster

ขอแนะนำให้ลูกค้าปิดการใช้งานบัญชีที่ไม่ได้ใช้งาน ตรวจสอบให้แน่ใจว่าเปิดใช้งาน MFA แล้ว รีเซ็ตข้อมูลประจำตัวสำหรับบัญชีที่ใช้งานอยู่ และปฏิบัติตามคำแนะนำในการลดปัญหาของ Snowflake เพื่อปกป้องข้อมูลของพวกเขา

การละเมิดข้อมูล Ticketmaster ซึ่งอำนวยความสะดวกผ่าน Snowflake เน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยที่แข็งแกร่ง รวมถึงการตรวจสอบสิทธิ์แบบหลายปัจจัยและการจัดการข้อมูลรับรองอย่างระมัดระวัง เพื่อป้องกันภัยคุกคามทางไซเบอร์ที่ซับซ้อน