Ticketmaster постраждала від кібератаки платформи Snowflake, яка скомпрометувала дані користувача
Ticketmaster разом із кількома іншими організаціями зазнали значного порушення даних через кібератаку на платформу Snowflake. Дослідники безпеки повідомили, що було викрадено значні обсяги інформації, що вплинуло на мільйони користувачів.
Зміст
Виявлення пролому
Порушення привернуло увагу громадськості, коли сумнозвісна хакерська група заявила, що викрала дані 560 мільйонів користувачів, вимагаючи 500 000 доларів за інформацію. Live Nation Entertainment, материнська компанія Ticketmaster, підтвердила порушення в заяві SEC, виявивши несанкціонований доступ до сторонньої хмарної бази даних.
31 травня Snowflake оголосила, що розслідує кіберінцидент, який торкнувся обмеженої кількості клієнтів. Зловмисники атакували облікові записи клієнтів за допомогою однофакторної автентифікації та використовували раніше отримані облікові дані. Snowflake підкреслив, що немає жодних доказів вразливості або порушення її основної платформи.
Заходи безпеки та реагування компанії
Сніжинка заявила, що скомпрометовані облікові дані належали колишньому співробітнику та використовувалися для доступу до демонстраційних облікових записів, які не містили конфіденційних даних. Демо-рахунки не були захищені багатофакторною автентифікацією (MFA), на відміну від корпоративних систем Snowflake. Компанія надала індикатори компрометації (IoCs) і рекомендувала пом’якшення підозрілої активності облікового запису.
Кібератака торкнулася багатьох організацій, зокрема Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank і State Farm. Santander Bank повідомив про несанкціонований доступ до його баз даних, скомпрометувавши інформацію про клієнтів і співробітників. Атака потенційно вплинула на близько 400 організацій, а зловмисники вимагали від Snowflake 20 мільйонів доларів.
Результати розслідування
Зловмисники стверджували, що обійшли засоби захисту Okta та згенерували токени сесії, що дозволило їм викрасти величезні обсяги даних. У звітах зазначено, що понад 500 екземплярів демонстраційного середовища було зламано. Австралійський центр кібербезпеки визнав зростання активності загроз, пов’язаних із середовищами клієнтів Snowflake.
Дослідник безпеки Кевін Бомонт підкреслив, що нездатність Snowflake використовувати MFA в демонстраційних середовищах і належним чином захищати облікові записи співробітників сприяла злому. Зловмисники, ідентифіковані як підлітки, активні в Telegram, використовували інформаційні викрадачі для доступу до баз даних Snowflake за допомогою вкрадених облікових даних.
Рекомендації для клієнтів Snowflake/Tickmaster
Клієнтам рекомендується вимкнути неактивні облікові записи, переконатися, що MFA увімкнено, скинути облікові дані для активних облікових записів і дотримуватися рекомендацій Snowflake щодо пом’якшення, щоб захистити свої дані.
Порушення даних Ticketmaster, якому сприяє Snowflake, підкреслює важливість надійних заходів безпеки, включаючи багатофакторну автентифікацію та ретельне керування обліковими даними, для захисту від складних кіберзагроз.