Ticketmaster bị vi phạm dữ liệu nền tảng Snowflake Tấn công mạng làm xâm phạm dữ liệu người dùng
Ticketmaster, cùng với nhiều tổ chức khác, đã gặp phải sự cố vi phạm dữ liệu nghiêm trọng do một cuộc tấn công mạng trên nền tảng Snowflake. Các nhà nghiên cứu bảo mật báo cáo rằng một lượng lớn thông tin đã bị đánh cắp, ảnh hưởng đến hàng triệu người dùng.
Mục lục
Phát hiện vi phạm
Vụ vi phạm này thu hút sự chú ý của công chúng khi một nhóm hack khét tiếng tuyên bố đã lấy cắp dữ liệu của 560 triệu người dùng và yêu cầu 500.000 USD cho thông tin này. Live Nation Entertainment, công ty mẹ của Ticketmaster, đã xác nhận hành vi vi phạm trong hồ sơ của SEC, tiết lộ quyền truy cập trái phép vào cơ sở dữ liệu đám mây của bên thứ ba.
Vào ngày 31 tháng 5, Snowflake tiết lộ rằng họ đang điều tra một sự cố mạng ảnh hưởng đến một số lượng khách hàng hạn chế. Các tác nhân đe dọa đã nhắm mục tiêu vào tài khoản khách hàng bằng cách sử dụng xác thực một yếu tố và lợi dụng thông tin đăng nhập có được trước đó. Snowflake nhấn mạnh rằng không có bằng chứng nào về lỗ hổng hoặc vi phạm nền tảng cốt lõi của nó.
Các biện pháp an ninh và phản ứng của công ty
Snowflake tuyên bố rằng thông tin đăng nhập bị xâm phạm thuộc về một nhân viên cũ và được sử dụng để truy cập vào các tài khoản demo không chứa dữ liệu nhạy cảm. Các tài khoản demo không được bảo mật bằng xác thực đa yếu tố (MFA), không giống như các hệ thống công ty của Snowflake. Công ty đã cung cấp các chỉ báo về sự xâm phạm (IoC) và đề xuất các biện pháp giảm thiểu đối với hoạt động tài khoản đáng ngờ.
Cuộc tấn công mạng đã ảnh hưởng đến nhiều tổ chức, bao gồm Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank và State Farm. Ngân hàng Santander đã báo cáo việc truy cập trái phép vào cơ sở dữ liệu của mình, làm tổn hại đến thông tin khách hàng và nhân viên. Cuộc tấn công có khả năng ảnh hưởng đến khoảng 400 tổ chức, trong đó những kẻ tấn công đòi Snowflake 20 triệu USD.
Kết quả điều tra
Các tác nhân đe dọa tuyên bố đã vượt qua các biện pháp bảo vệ của Okta và tạo mã thông báo phiên, cho phép chúng đánh cắp lượng dữ liệu khổng lồ. Các báo cáo chỉ ra rằng hơn 500 phiên bản môi trường demo đã bị xâm phạm. Trung tâm An ninh Mạng Úc thừa nhận hoạt động đe dọa ngày càng gia tăng liên quan đến môi trường khách hàng của Snowflake.
Nhà nghiên cứu bảo mật Kevin Beaumont nhấn mạnh rằng việc Snowflake không sử dụng MFA trên môi trường demo và bảo mật tài khoản nhân viên đúng cách đã góp phần gây ra vi phạm. Các tác nhân đe dọa, được xác định là thanh thiếu niên hoạt động trên Telegram, đã sử dụng kẻ đánh cắp thông tin để truy cập cơ sở dữ liệu Snowflake bằng thông tin đăng nhập bị đánh cắp.
Khuyến nghị dành cho khách hàng Snowflake/Tickmaster
Khách hàng nên vô hiệu hóa các tài khoản không hoạt động, đảm bảo bật MFA, đặt lại thông tin xác thực cho các tài khoản đang hoạt động và làm theo các đề xuất giảm nhẹ của Snowflake để bảo vệ dữ liệu của họ.
Vụ vi phạm dữ liệu Ticketmaster, được hỗ trợ thông qua Snowflake, nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ, bao gồm xác thực đa yếu tố và quản lý thông tin xác thực thận trọng, để bảo vệ chống lại các mối đe dọa mạng tinh vi.