Ticketmaster's Snowflake platformos duomenų pažeidimas paveikia milijonus
„Ticketmaster“ kartu su keliomis kitomis organizacijomis patyrė didelį duomenų pažeidimą dėl saugos incidento debesų saugyklos įmonėje „Snowflake“. Šis pažeidimas išaiškėjo, kai gerai žinoma programišių grupė pareiškė, kad gavo informacijos apie 560 milijonų vartotojų ir reikalavo 500 000 USD už duomenis. „Ticketmaster“ patronuojanti įmonė „Live Nation Entertainment“ patvirtino neteisėtą prieigą neseniai pateiktame SEC dokumente, pabrėždama, kad buvo pažeista trečiosios šalies debesų duomenų bazės aplinka.
Table of Contents
Išsami informacija apie pažeidimą
Pažeidimas buvo siejamas su Snowflake, plačiai naudojama debesų AI duomenų platforma. Gegužės 31 d. Snowflake atskleidė, kad grėsmės veikėjai nusitaikė į klientų paskyras su vieno veiksnio autentifikavimu. Šie užpuolikai naudojo kredencialus, gautus naudojant kenkėjiškas programas, išnaudodami demonstracines paskyras, neapsaugotas kelių veiksnių autentifikavimo (MFA). „Snowflake“ patikino, kad jos gamyba ir įmonės sistemos buvo apsaugotos MFA ir nebuvo pažeistos.
Įsilaužėlių grupė ir jų pretenzijos
Atsakomybę už pažeidimą prisiėmė programišiai, grupelė paauglių. Jie atskleidė, kad, be „Ticketmaster“, turėjo prieigą prie duomenų iš kelių žinomų organizacijų, įskaitant „Anheuser-Busch“, „Allstate“, „Mitsubishi“, „Neiman Marcus“ ir „State Farm“. Jie tvirtino, kad nukentėjo maždaug 400 organizacijų, reikalaujančių 20 milijonų dolerių iš Snowflake už pavogtus duomenis. Grupė taip pat teigė apeinanti „Okta“ apsaugą ir sugeneravusi seanso žetonus, įgalinusi didelę duomenų vagystę.
Reagavimo ir švelninimo pastangos
„Snowflake“ aktyviai informavo paveiktus klientus ir teikė kompromiso rodiklius (IoC) kartu su rekomenduojamomis švelninimo priemonėmis. Jie pabrėžė, kad pažeidimas įvyko ne dėl jų platformos pažeidžiamumo, o dėl kredencialų užpildymo atakų. Organizacijoms buvo patarta išjungti neaktyvias paskyras, įjungti MFA, iš naujo nustatyti kredencialus ir laikytis „Snowflake“ saugos rekomendacijų.
Pasekmės ir ekspertų nuomonės
Saugumo tyrėjai atkreipė dėmesį, kad nepaisant „Snowflake“ tvirtinimų, incidentas išryškino reikšmingas saugumo spragas. Kibernetinio saugumo ekspertas Kevinas Beaumontas kritikavo „Snowflake“, kad jis neužtikrino demonstracinės aplinkos naudojant MFA ir nesugebėjo išjungti buvusio darbuotojo prieigos. Ši priežiūra leido užpuolikams veiksmingai panaudoti pažeistus kredencialus ir informacijos vagystes.
„Ticketmaster“ ir „Snowflake“ duomenų pažeidimas pabrėžia patikimų kibernetinio saugumo priemonių, įskaitant MFA naudojimą ir kruopštų paskyros valdymą, svarbą. Kadangi kibernetinės grėsmės ir toliau vystosi, organizacijos turi išlikti budrios ir priimti išsamius saugos protokolus, kad apsaugotų neskelbtinus duomenis.
