Ticketmaster's Snowflake Platform databrud påvirker millioner
Ticketmaster oplevede sammen med flere andre organisationer et betydeligt databrud på grund af en sikkerhedshændelse hos cloud-lagringsfirmaet Snowflake. Dette brud kom frem, da en velkendt hackergruppe hævdede at have indhentet oplysninger om 560 millioner brugere og krævede $500.000 for dataene. Ticketmasters moderselskab, Live Nation Entertainment, bekræftede den uautoriserede adgang i en nylig SEC-fil, der fremhævede, at et tredjeparts cloud-databasemiljø var kompromitteret.
Table of Contents
Detaljer om bruddet
Bruddet blev tilskrevet Snowflake, en meget brugt cloud AI-dataplatform. Den 31. maj afslørede Snowflake, at trusselsaktører havde målrettet kundekonti med enkeltfaktorgodkendelse. Disse angribere brugte legitimationsoplysninger opnået gennem malware og udnyttede demokonti, der ikke er beskyttet af multifaktorautentificering (MFA). Snowflake forsikrede, at dets produktions- og virksomhedssystemer var sikret med MFA og ikke blev kompromitteret.
Hackergruppen og deres krav
Hackerne, angiveligt en gruppe teenagere, påtog sig ansvaret for bruddet. De afslørede, at de havde adgang til data fra flere prominente organisationer, herunder Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus og State Farm, foruden Ticketmaster. De hævdede, at omkring 400 organisationer var berørt og krævede $20 millioner fra Snowflake for de stjålne data. Gruppen hævdede også at have omgået Okta-beskyttelser og genereret sessionstokens, hvilket muliggjorde omfattende datatyveri.
Reaktions- og afhjælpningsindsats
Snowflake har været proaktiv med at informere berørte kunder og levere indikatorer for kompromis (IoC'er) sammen med anbefalede begrænsninger. De understregede, at bruddet ikke skyldtes en sårbarhed i deres platform, men snarere på grund af credential stuffing-angreb. Organisationer blev rådet til at deaktivere inaktive konti, aktivere MFA, nulstille legitimationsoplysninger og følge Snowflakes sikkerhedsanbefalinger.
Implikationer og ekspertudtalelser
Sikkerhedsforskere påpegede, at på trods af Snowflakes påstande, fremhævede hændelsen betydelige sikkerhedsmangler. Kevin Beaumont, en cybersikkerhedsekspert, kritiserede Snowflake for ikke at sikre demomiljøer med MFA og undlade at deaktivere adgang for en tidligere medarbejder. Dette tilsyn gjorde det muligt for angriberne at udnytte kompromitterede legitimationsoplysninger og infostealere effektivt.
Ticketmaster og Snowflake databruddet understreger vigtigheden af robuste cybersikkerhedsforanstaltninger, herunder brugen af MFA og omhyggelig kontostyring. I takt med at cybertrusler fortsætter med at udvikle sig, skal organisationer være på vagt og vedtage omfattende sikkerhedsprotokoller for at beskytte følsomme data.
