Datendiebstahl bei Ticketmasters Snowflake-Plattform betrifft Millionen
Ticketmaster und mehrere andere Unternehmen waren aufgrund eines Sicherheitsvorfalls beim Cloud-Speicherunternehmen Snowflake Opfer eines erheblichen Datendiebstahls. Dieser wurde bekannt, als eine bekannte Hackergruppe behauptete, Informationen über 560 Millionen Benutzer erhalten zu haben, und 500.000 US-Dollar für die Daten forderte. Die Muttergesellschaft von Ticketmaster, Live Nation Entertainment, bestätigte den unbefugten Zugriff in einer kürzlichen SEC-Meldung und betonte, dass eine Cloud-Datenbankumgebung eines Drittanbieters kompromittiert worden sei.
Table of Contents
Einzelheiten zum Verstoß
Der Verstoß wurde Snowflake zugeschrieben, einer weit verbreiteten Cloud-KI-Datenplattform. Am 31. Mai gab Snowflake bekannt, dass Bedrohungsakteure Kundenkonten mit Ein-Faktor-Authentifizierung ins Visier genommen hatten. Diese Angreifer nutzten durch Malware erlangte Anmeldeinformationen und nutzten Demokonten aus, die nicht durch eine Multi-Faktor-Authentifizierung (MFA) geschützt waren. Snowflake versicherte, dass seine Produktions- und Unternehmenssysteme mit MFA gesichert und nicht kompromittiert seien.
Die Hackergruppe und ihre Behauptungen
Die Hacker, Berichten zufolge eine Gruppe von Teenagern, übernahmen die Verantwortung für den Einbruch. Sie gaben an, dass sie auf Daten mehrerer namhafter Organisationen zugegriffen hatten, darunter Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus und State Farm sowie Ticketmaster. Sie behaupteten, dass etwa 400 Organisationen betroffen waren, und forderten von Snowflake 20 Millionen Dollar für die gestohlenen Daten. Die Gruppe behauptete auch, Okta-Schutzmaßnahmen umgangen und Sitzungstoken generiert zu haben, was einen umfangreichen Datendiebstahl ermöglichte.
Reaktions- und Schadensbegrenzungsmaßnahmen
Snowflake hat betroffene Kunden proaktiv informiert und Indikatoren für Kompromittierungen (IoCs) sowie empfohlene Gegenmaßnahmen bereitgestellt. Sie betonten, dass der Verstoß nicht auf eine Schwachstelle in ihrer Plattform zurückzuführen sei, sondern vielmehr auf Credential-Stuffing-Angriffe. Den Organisationen wurde geraten, inaktive Konten zu deaktivieren, MFA zu aktivieren, Anmeldeinformationen zurückzusetzen und die Sicherheitsempfehlungen von Snowflake zu befolgen.
Implikationen und Expertenmeinungen
Sicherheitsforscher wiesen darauf hin, dass der Vorfall trotz Snowflakes Behauptungen erhebliche Sicherheitslücken aufgezeigt habe. Kevin Beaumont, ein Cybersicherheitsexperte, kritisierte Snowflake dafür, dass es Demoumgebungen nicht mit MFA gesichert und den Zugriff für einen ehemaligen Mitarbeiter nicht gesperrt habe. Dieses Versäumnis ermöglichte es den Angreifern, kompromittierte Anmeldeinformationen und Infostealer effektiv zu nutzen.
Der Datendiebstahl bei Ticketmaster und Snowflake unterstreicht die Bedeutung robuster Cybersicherheitsmaßnahmen, darunter der Einsatz von MFA und sorgfältiger Kontoverwaltung. Da sich Cyberbedrohungen ständig weiterentwickeln, müssen Unternehmen wachsam bleiben und umfassende Sicherheitsprotokolle zum Schutz sensibler Daten einführen.
