La filtración de datos de la plataforma Snowflake de Ticketmaster afecta a millones
Ticketmaster, junto con varias otras organizaciones, experimentó una importante violación de datos debido a un incidente de seguridad en la empresa de almacenamiento en la nube Snowflake. Esta violación salió a la luz cuando un conocido grupo de hackers afirmó haber obtenido información sobre 560 millones de usuarios y exigió 500.000 dólares por los datos. La empresa matriz de Ticketmaster, Live Nation Entertainment, confirmó el acceso no autorizado en una presentación reciente a la SEC, destacando que un entorno de base de datos en la nube de un tercero estaba comprometido.
Table of Contents
Detalles de la infracción
La infracción se atribuyó a Snowflake, una plataforma de datos de inteligencia artificial en la nube ampliamente utilizada. El 31 de mayo, Snowflake reveló que los actores de amenazas se habían dirigido a cuentas de clientes con autenticación de un solo factor. Estos atacantes utilizaron credenciales obtenidas a través de malware, explotando cuentas de demostración no protegidas por autenticación multifactor (MFA). Snowflake aseguró que sus sistemas corporativos y de producción estaban protegidos con MFA y no estaban comprometidos.
El grupo hacker y sus afirmaciones
Los piratas informáticos, al parecer un grupo de adolescentes, se atribuyeron la responsabilidad de la infracción. Revelaron que habían accedido a datos de varias organizaciones destacadas, incluidas Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus y State Farm, además de Ticketmaster. Afirmaron que aproximadamente 400 organizaciones se vieron afectadas y exigieron 20 millones de dólares a Snowflake por los datos robados. El grupo también afirmó haber eludido las protecciones de Okta y generado tokens de sesión, lo que permitió un robo de datos extenso.
Esfuerzos de respuesta y mitigación
Snowflake ha sido proactivo al informar a los clientes afectados y proporcionar indicadores de compromiso (IoC) junto con las mitigaciones recomendadas. Enfatizaron que la violación no se debió a una vulnerabilidad en su plataforma sino a ataques de relleno de credenciales. Se recomendó a las organizaciones que deshabilitaran las cuentas inactivas, habilitaran MFA, restablecieran las credenciales y siguieran las recomendaciones de seguridad de Snowflake.
Implicaciones y opiniones de expertos
Los investigadores de seguridad señalaron que a pesar de las afirmaciones de Snowflake, el incidente destacó importantes fallas de seguridad. Kevin Beaumont, un experto en ciberseguridad, criticó a Snowflake por no proteger los entornos de demostración con MFA y por no desactivar el acceso de un ex empleado. Esta supervisión permitió a los atacantes aprovechar las credenciales comprometidas y los ladrones de información de manera efectiva.
La violación de datos de Ticketmaster y Snowflake subraya la importancia de medidas sólidas de ciberseguridad, incluido el uso de MFA y una gestión diligente de cuentas. A medida que las amenazas cibernéticas continúan evolucionando, las organizaciones deben mantenerse alerta y adoptar protocolos de seguridad integrales para proteger los datos confidenciales.
