La violation de données de la plateforme Snowflake de Ticketmaster touche des millions de personnes
Ticketmaster, ainsi que plusieurs autres organisations, ont été confrontés à une violation de données importante en raison d'un incident de sécurité au sein de la société de stockage cloud Snowflake. Cette violation a été révélée lorsqu'un groupe de hackers bien connu a affirmé avoir obtenu des informations sur 560 millions d'utilisateurs, exigeant 500 000 $ pour les données. La société mère de Ticketmaster, Live Nation Entertainment, a confirmé l'accès non autorisé dans un récent dossier auprès de la SEC, soulignant qu'un environnement de base de données cloud tiers avait été compromis.
Table of Contents
Détails de la violation
La violation a été attribuée à Snowflake, une plateforme de données d'IA cloud largement utilisée. Le 31 mai, Snowflake a révélé que les acteurs malveillants avaient ciblé les comptes clients avec une authentification à un seul facteur. Ces attaquants ont utilisé des informations d'identification obtenues via des logiciels malveillants, exploitant des comptes de démonstration non protégés par l'authentification multifacteur (MFA). Snowflake a assuré que ses systèmes de production et d'entreprise étaient sécurisés avec MFA et n'étaient pas compromis.
Le groupe Hacker et leurs affirmations
Les pirates informatiques, qui seraient un groupe d'adolescents, ont revendiqué la responsabilité de la violation. Ils ont révélé qu'ils avaient accédé aux données de plusieurs organisations de premier plan, notamment Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus et State Farm, en plus de Ticketmaster. Ils ont affirmé qu'environ 400 organisations avaient été touchées et ont exigé 20 millions de dollars de Snowflake pour les données volées. Le groupe a également affirmé avoir contourné les protections Okta et généré des jetons de session, permettant ainsi un vol de données à grande échelle.
Efforts de réponse et d’atténuation
Snowflake a été proactif en informant les clients concernés et en fournissant des indicateurs de compromission (IoC) ainsi que les mesures d'atténuation recommandées. Ils ont souligné que la violation n’était pas due à une vulnérabilité de leur plateforme mais plutôt à des attaques de credential stuffing. Il a été conseillé aux organisations de désactiver les comptes inactifs, d'activer la MFA, de réinitialiser les informations d'identification et de suivre les recommandations de sécurité de Snowflake.
Implications et avis d'experts
Les chercheurs en sécurité ont souligné que malgré les affirmations de Snowflake, l'incident a mis en évidence d'importantes failles de sécurité. Kevin Beaumont, un expert en cybersécurité, a critiqué Snowflake pour ne pas avoir sécurisé les environnements de démonstration avec MFA et pour ne pas avoir désactivé l'accès à un ancien employé. Cette surveillance a permis aux attaquants d’exploiter efficacement les informations d’identification compromises et les voleurs d’informations.
La violation de données Ticketmaster et Snowflake souligne l’importance de mesures de cybersécurité robustes, notamment l’utilisation de la MFA et une gestion diligente des comptes. Alors que les cybermenaces continuent d’évoluer, les organisations doivent rester vigilantes et adopter des protocoles de sécurité complets pour protéger les données sensibles.
