Ang Ticketmaster ay Nagdusa ng Paglabag sa Data ng Snowflake Platform ng Cyberattack na Nakompromiso ang Data ng User
Ang Ticketmaster, kasama ang marami pang iba pang organisasyon, ay nakaranas ng malaking data breach dahil sa isang cyberattack sa Snowflake platform. Iniulat ng mga mananaliksik sa seguridad na maraming impormasyon ang ninakaw, na nakakaapekto sa milyun-milyong user.
Talaan ng mga Nilalaman
Pagtuklas ng Paglabag
Ang paglabag ay dumating sa atensyon ng publiko nang ang isang kilalang-kilalang grupo ng pag-hack ay nag-claim na na-exfiltrate ang data ng 560 milyong mga gumagamit, na humihingi ng $ 500,000 para sa impormasyon. Kinumpirma ng Live Nation Entertainment, ang namumunong kumpanya ng Ticketmaster, ang paglabag sa isang paghahain ng SEC, na nagpapakita ng hindi awtorisadong pag-access sa isang third-party na cloud database.
Noong Mayo 31, ibinunyag ni Snowflake na sinisiyasat nito ang isang cyber incident na nakakaapekto sa limitadong bilang ng mga customer. Tina-target ng mga banta ng aktor ang mga account ng customer gamit ang single-factor authentication at ginamit ang mga dati nang nakuhang kredensyal. Binigyang-diin ng Snowflake na walang katibayan ng kahinaan o paglabag sa pangunahing plataporma nito.
Mga Panukala sa Seguridad at Pagtugon ng Kumpanya
Sinabi ni Snowflake na ang mga nakompromisong kredensyal ay pagmamay-ari ng isang dating empleyado at ginamit upang ma-access ang mga demo account, na hindi naglalaman ng sensitibong data. Ang mga demo account ay hindi na-secure gamit ang multi-factor authentication (MFA), hindi katulad ng mga corporate system ng Snowflake. Nagbigay ang kumpanya ng mga indicator of compromise (IoCs) at nagrekomenda ng mga pagpapagaan para sa kahina-hinalang aktibidad ng account.
Naapektuhan ng cyberattack ang maraming organisasyon, kabilang ang Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank, at State Farm. Iniulat ng Santander Bank ang hindi awtorisadong pag-access sa mga database nito, na nakompromiso ang impormasyon ng customer at empleyado. Ang pag-atake ay posibleng nakaapekto sa humigit-kumulang 400 organisasyon, kung saan ang mga umaatake ay humihingi ng $20 milyon mula sa Snowflake.
Mga Natuklasan sa Pag-iimbestiga
Sinasabi ng mga banta na aktor na nilagpasan ang mga proteksyon ng Okta at nakabuo ng mga token ng session, na nagpapahintulot sa kanila na magnakaw ng napakalaking dami ng data. Ipinahiwatig ng mga ulat na mahigit 500 instance ng demo environment ang nakompromiso. Kinilala ng Australian Cyber Security Center ang tumaas na aktibidad ng pagbabanta na nauugnay sa mga kapaligiran ng kostumer ng Snowflake.
Binigyang-diin ng mananaliksik ng seguridad na si Kevin Beaumont na ang kabiguan ng Snowflake na gamitin ang MFA sa mga demo environment at maayos na secure ang mga account ng empleyado ay nag-ambag sa paglabag. Ang mga aktor ng pagbabanta, na kinilala bilang mga teenager na aktibo sa Telegram, ay gumamit ng mga infostealers upang ma-access ang mga database ng Snowflake na may mga ninakaw na kredensyal.
Mga Rekomendasyon para sa Mga Customer ng Snowflake/Tickmaster
Pinapayuhan ang mga customer na huwag paganahin ang mga hindi aktibong account, tiyaking pinagana ang MFA, i-reset ang mga kredensyal para sa mga aktibong account, at sundin ang mga rekomendasyon sa pagpapagaan ng Snowflake upang protektahan ang kanilang data.
Ang paglabag sa data ng Ticketmaster, na pinadali sa pamamagitan ng Snowflake, ay binibigyang-diin ang kahalagahan ng matatag na mga hakbang sa seguridad, kabilang ang multi-factor na pagpapatotoo at mapagbantay na pamamahala ng kredensyal, upang maprotektahan laban sa mga sopistikadong banta sa cyber.