Datalek op het Snowflake-platform van Ticketmaster heeft gevolgen voor miljoenen
Ticketmaster heeft, samen met verschillende andere organisaties, te maken gehad met een aanzienlijk datalek als gevolg van een beveiligingsincident bij het cloudopslagbedrijf Snowflake. Deze inbreuk kwam aan het licht toen een bekende hackgroep beweerde informatie over 560 miljoen gebruikers te hebben verkregen en $ 500.000 voor de gegevens eiste. Het moederbedrijf van Ticketmaster, Live Nation Entertainment, bevestigde de ongeautoriseerde toegang in een recente SEC-aanvraag, waarbij werd benadrukt dat een clouddatabase-omgeving van derden was aangetast.
Table of Contents
Details van de inbreuk
De inbreuk werd toegeschreven aan Snowflake, een veelgebruikt cloud-AI-dataplatform. Op 31 mei maakte Snowflake bekend dat bedreigingsactoren zich op klantaccounts hadden gericht met single-factor authenticatie. Deze aanvallers maakten gebruik van inloggegevens die via malware waren verkregen en maakten misbruik van demo-accounts die niet werden beschermd door multi-factor authenticatie (MFA). Snowflake verzekerde dat zijn productie- en bedrijfssystemen met MFA waren beveiligd en niet in gevaar waren gebracht.
De Hacker Group en hun claims
De hackers, naar verluidt een groep tieners, hebben de verantwoordelijkheid voor de inbreuk opgeëist. Ze onthulden dat ze naast Ticketmaster ook toegang hadden gekregen tot gegevens van verschillende prominente organisaties, waaronder Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus en State Farm. Ze beweerden dat ongeveer 400 organisaties getroffen waren en eisten $ 20 miljoen van Snowflake voor de gestolen gegevens. De groep beweerde ook de Okta-beveiligingen te hebben omzeild en sessietokens te hebben gegenereerd, waardoor uitgebreide gegevensdiefstal mogelijk was.
Reactie- en mitigatie-inspanningen
Snowflake is proactief geweest in het informeren van getroffen klanten en het verstrekken van indicatoren voor compromissen (IoC's), samen met aanbevolen oplossingen. Ze benadrukten dat de inbreuk niet te wijten was aan een kwetsbaarheid in hun platform, maar eerder aan credential stuffing-aanvallen. Organisaties werd geadviseerd om inactieve accounts uit te schakelen, MFA in te schakelen, inloggegevens opnieuw in te stellen en de beveiligingsaanbevelingen van Snowflake op te volgen.
Implicaties en meningen van deskundigen
Beveiligingsonderzoekers wezen erop dat het incident, ondanks de beweringen van Snowflake, aanzienlijke tekortkomingen in de beveiliging aan het licht bracht. Kevin Beaumont, een cybersecurity-expert, bekritiseerde Snowflake omdat het de demo-omgevingen niet beveiligt met MFA en de toegang voor een voormalige werknemer niet heeft uitgeschakeld. Door dit toezicht konden de aanvallers effectief gebruikmaken van gecompromitteerde inloggegevens en infostealers.
Het datalek bij Ticketmaster en Snowflake onderstreept het belang van robuuste cyberbeveiligingsmaatregelen, waaronder het gebruik van MFA en zorgvuldig accountbeheer. Terwijl cyberdreigingen zich blijven ontwikkelen, moeten organisaties waakzaam blijven en uitgebreide beveiligingsprotocollen invoeren om gevoelige gegevens te beschermen.
