Ticketmaster, Snowflake Platformu Veri İhlali Siber Saldırısıyla Karşı Karşıya, Kullanıcı Verilerini Ele Geçiriyor
Ticketmaster, diğer birçok kuruluşla birlikte Snowflake platformuna yapılan bir siber saldırı nedeniyle önemli bir veri ihlali yaşadı. Güvenlik araştırmacıları önemli miktarda bilginin çalındığını ve milyonlarca kullanıcıyı etkilediğini bildirdi.
İçindekiler
İhlalin Keşfi
Kötü şöhretli bir bilgisayar korsanlığı grubunun 560 milyon kullanıcının verilerini sızdırdığını iddia etmesi ve bilgi için 500.000 dolar talep etmesiyle bu ihlal kamuoyunun dikkatini çekti. Ticketmaster'ın ana şirketi Live Nation Entertainment, bir SEC dosyasındaki ihlali doğruladı ve üçüncü taraf bulut veritabanına yetkisiz erişimi ortaya çıkardı.
31 Mayıs'ta Snowflake, sınırlı sayıda müşteriyi etkileyen bir siber olayı araştırdığını açıkladı. Tehdit aktörleri, tek faktörlü kimlik doğrulamayı kullanarak müşteri hesaplarını hedef aldı ve daha önce elde edilen kimlik bilgilerinden yararlandı. Snowflake, çekirdek platformunda bir güvenlik açığı veya ihlal olduğuna dair herhangi bir kanıt bulunmadığını vurguladı.
Güvenlik Önlemleri ve Şirketin Müdahalesi
Snowflake, ele geçirilen kimlik bilgilerinin eski bir çalışana ait olduğunu ve hassas veriler içermeyen demo hesaplara erişim için kullanıldığını belirtti. Demo hesapları, Snowflake'in kurumsal sistemlerinden farklı olarak çok faktörlü kimlik doğrulama (MFA) ile güvence altına alınmıyordu. Şirket, güvenlik ihlali göstergeleri (IoC'ler) sağladı ve şüpheli hesap etkinliklerine yönelik hafifletme önerileri sundu.
Siber saldırı, Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank ve State Farm gibi çok sayıda kuruluşu etkiledi. Santander Bank, veritabanlarına izinsiz erişim sağlanarak müşteri ve çalışan bilgilerinin tehlikeye atıldığını bildirdi. Saldırı potansiyel olarak yaklaşık 400 kuruluşu etkiledi ve saldırganlar Snowflake'ten 20 milyon dolar talep etti.
Araştırma Bulguları
Tehdit aktörleri, Okta korumalarını aşarak oturum belirteçleri oluşturarak büyük miktarda veri çalmalarına olanak sağladığını iddia etti. Raporlar, 500'den fazla demo ortamı örneğinin ele geçirildiğini gösterdi. Avustralya Siber Güvenlik Merkezi, Snowflake müşteri ortamlarıyla ilgili artan tehdit faaliyetini kabul etti.
Güvenlik araştırmacısı Kevin Beaumont, Snowflake'in MFA'yı demo ortamlarında kullanmamasının ve çalışan hesaplarının güvenliğini düzgün bir şekilde sağlamamasının ihlale katkıda bulunduğunu vurguladı. Telegram'da aktif olan gençler olarak tanımlanan tehdit aktörleri, çalıntı kimlik bilgileriyle Snowflake veritabanlarına erişmek için bilgi hırsızlarını kullandı.
Snowflake/Tickmaster Müşterilerine Öneriler
Müşterilere, etkin olmayan hesapları devre dışı bırakmaları, MFA'nın etkinleştirildiğinden emin olmaları, etkin hesapların kimlik bilgilerini sıfırlamaları ve verilerini korumak için Snowflake'in risk azaltma önerilerini izlemeleri önerilir.
Snowflake aracılığıyla gerçekleştirilen Ticketmaster veri ihlali, karmaşık siber tehditlere karşı koruma sağlamak için çok faktörlü kimlik doğrulama ve dikkatli kimlik bilgisi yönetimi dahil olmak üzere güçlü güvenlik önlemlerinin önemini vurguluyor.