Ticketmaster's Snowflake Platform databrudd påvirker millioner
Ticketmaster, sammen med flere andre organisasjoner, opplevde et betydelig datainnbrudd på grunn av en sikkerhetshendelse hos skylagringsselskapet Snowflake. Dette bruddet kom frem da en kjent hackergruppe hevdet å ha innhentet informasjon om 560 millioner brukere, og krevde 500 000 dollar for dataene. Ticketmasters morselskap, Live Nation Entertainment, bekreftet den uautoriserte tilgangen i en nylig SEC-fil, og fremhevet at et tredjeparts skydatabasemiljø ble kompromittert.
Table of Contents
Detaljer om bruddet
Bruddet ble tilskrevet Snowflake, en mye brukt cloud AI-dataplattform. 31. mai avslørte Snowflake at trusselaktører hadde målrettet kundekontoer med enkeltfaktorautentisering. Disse angriperne benyttet seg av legitimasjon oppnådd gjennom skadelig programvare, og utnyttet demokontoer som ikke er beskyttet av multifaktorautentisering (MFA). Snowflake forsikret at produksjons- og bedriftssystemene var sikret med MFA og ikke ble kompromittert.
Hackergruppen og deres påstander
Hackerne, angivelig en gruppe tenåringer, tok på seg ansvaret for bruddet. De avslørte at de hadde tilgang til data fra flere fremtredende organisasjoner, inkludert Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus og State Farm, i tillegg til Ticketmaster. De hevdet at omtrent 400 organisasjoner ble berørt, og krevde 20 millioner dollar fra Snowflake for de stjålne dataene. Gruppen hevdet også å ha omgått Okta-beskyttelser og generert økttokens, noe som muliggjorde omfattende datatyveri.
Respons og avbøtende innsats
Snowflake har vært proaktiv med å informere berørte kunder og gi indikatorer på kompromiss (IoCs) sammen med anbefalte avbøtende tiltak. De understreket at bruddet ikke var på grunn av en sårbarhet i plattformen deres, men snarere på grunn av credential stuffing-angrep. Organisasjoner ble rådet til å deaktivere inaktive kontoer, aktivere MFA, tilbakestille legitimasjon og følge Snowflakes sikkerhetsanbefalinger.
Implikasjoner og ekspertuttalelser
Sikkerhetsforskere påpekte at til tross for Snowflakes påstander, fremhevet hendelsen betydelige sikkerhetsbrudd. Kevin Beaumont, en ekspert på nettsikkerhet, kritiserte Snowflake for ikke å sikre demomiljøer med MFA og unnlate å deaktivere tilgang for en tidligere ansatt. Dette tilsynet gjorde det mulig for angriperne å utnytte kompromitterte legitimasjon og infotyvere effektivt.
Datainnbruddet ved Ticketmaster og Snowflake understreker viktigheten av robuste cybersikkerhetstiltak, inkludert bruk av MFA og grundig kontoadministrasjon. Ettersom cybertrusler fortsetter å utvikle seg, må organisasjoner være på vakt og ta i bruk omfattende sikkerhetsprotokoller for å beskytte sensitive data.
