La violazione dei dati della piattaforma Snowflake di Ticketmaster ha un impatto su milioni di persone
Ticketmaster, insieme a diverse altre organizzazioni, ha subito una significativa violazione dei dati a causa di un incidente di sicurezza presso la società di archiviazione cloud Snowflake. Questa violazione è venuta alla luce quando un noto gruppo di hacker ha affermato di aver ottenuto informazioni su 560 milioni di utenti, chiedendo 500.000 dollari per i dati. La società madre di Ticketmaster, Live Nation Entertainment, ha confermato l'accesso non autorizzato in un recente deposito alla SEC, evidenziando che un ambiente di database cloud di terze parti è stato compromesso.
Table of Contents
Dettagli della violazione
La violazione è stata attribuita a Snowflake, una piattaforma di dati AI cloud ampiamente utilizzata. Il 31 maggio, Snowflake ha rivelato che gli autori delle minacce avevano preso di mira gli account dei clienti con l'autenticazione a fattore singolo. Questi aggressori hanno utilizzato credenziali ottenute tramite malware, sfruttando account demo non protetti dall'autenticazione a più fattori (MFA). Snowflake ha assicurato che i suoi sistemi di produzione e aziendali sono stati protetti con MFA e non sono stati compromessi.
Il gruppo hacker e le loro affermazioni
Gli hacker, presumibilmente un gruppo di adolescenti, hanno rivendicato la responsabilità della violazione. Hanno rivelato di aver avuto accesso ai dati di diverse importanti organizzazioni, tra cui Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus e State Farm, oltre a Ticketmaster. Hanno affermato che circa 400 organizzazioni sono state colpite, chiedendo 20 milioni di dollari a Snowflake per i dati rubati. Il gruppo ha inoltre affermato di aver aggirato le protezioni di Okta e generato token di sessione, consentendo un vasto furto di dati.
Sforzi di risposta e mitigazione
Snowflake è stata proattiva nell'informare i clienti interessati e nel fornire indicatori di compromissione (IoC) insieme alle soluzioni di mitigazione consigliate. Hanno sottolineato che la violazione non era dovuta a una vulnerabilità nella loro piattaforma, ma piuttosto ad attacchi di credential stuffing. È stato consigliato alle organizzazioni di disabilitare gli account inattivi, abilitare MFA, reimpostare le credenziali e seguire le raccomandazioni di sicurezza di Snowflake.
Implicazioni e opinioni di esperti
I ricercatori sulla sicurezza hanno sottolineato che, nonostante le affermazioni di Snowflake, l'incidente ha evidenziato significative lacune nella sicurezza. Kevin Beaumont, un esperto di sicurezza informatica, ha criticato Snowflake per non aver protetto gli ambienti demo con MFA e per non aver disabilitato l'accesso per un ex dipendente. Questa supervisione ha consentito agli aggressori di sfruttare in modo efficace credenziali e infostealer compromessi.
La violazione dei dati di Ticketmaster e Snowflake sottolinea l’importanza di solide misure di sicurezza informatica, compreso l’uso dell’AMF e una gestione diligente degli account. Poiché le minacce informatiche continuano ad evolversi, le organizzazioni devono rimanere vigili e adottare protocolli di sicurezza completi per proteggere i dati sensibili.
