Naruszenie danych na platformie Snowflake firmy Ticketmaster ma wpływ na miliony osób
Ticketmaster wraz z kilkoma innymi organizacjami doświadczył poważnego naruszenia bezpieczeństwa danych w wyniku incydentu bezpieczeństwa w firmie Snowflake zajmującej się przechowywaniem danych w chmurze. Naruszenie to wyszło na jaw, gdy znana grupa hakerska twierdziła, że uzyskała informacje o 560 milionach użytkowników, żądając za te dane 500 000 dolarów. Spółka-matka Ticketmaster, Live Nation Entertainment, potwierdziła nieautoryzowany dostęp w niedawnym zgłoszeniu SEC, podkreślając, że zostało naruszone środowisko bazy danych w chmurze innej firmy.
Table of Contents
Szczegóły naruszenia
Naruszenie przypisano Snowflake, powszechnie używanej platformie danych opartej na sztucznej inteligencji w chmurze. 31 maja firma Snowflake ujawniła, że cyberprzestępcy zaatakowali konta klientów za pomocą uwierzytelniania jednoskładnikowego. Osoby atakujące wykorzystywały dane uwierzytelniające uzyskane za pośrednictwem złośliwego oprogramowania, wykorzystując konta demonstracyjne niechronione uwierzytelnianiem wieloskładnikowym (MFA). Snowflake zapewnił, że jego systemy produkcyjne i korporacyjne są zabezpieczone za pomocą usługi MFA i nie zostały naruszone.
Grupa hakerów i ich roszczenia
Do naruszenia przyznała się hakerka, grupa nastolatków. Ujawnili, że oprócz Ticketmaster uzyskali dostęp do danych kilku znanych organizacji, w tym Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus i State Farm. Twierdzili, że problem dotyczy około 400 organizacji, żądając od Snowflake 20 milionów dolarów za skradzione dane. Grupa twierdziła również, że ominęła zabezpieczenia Okta i wygenerowała tokeny sesji, umożliwiając rozległą kradzież danych.
Wysiłki w zakresie reagowania i łagodzenia
Firma Snowflake aktywnie informowała klientów, których to dotyczyło, i dostarczała wskaźników kompromisu (IoC) wraz z zalecanymi środkami zaradczymi. Podkreślili, że naruszenie nie było spowodowane luką w zabezpieczeniach ich platformy, ale raczej atakami polegającymi na upychaniu danych uwierzytelniających. Organizacjom zalecono wyłączenie nieaktywnych kont, włączenie usługi MFA, zresetowanie poświadczeń i przestrzeganie zaleceń dotyczących bezpieczeństwa firmy Snowflake.
Implikacje i opinie ekspertów
Badacze bezpieczeństwa wskazali, że pomimo twierdzeń Snowflake incydent uwypuklił istotne luki w zabezpieczeniach. Kevin Beaumont, ekspert ds. cyberbezpieczeństwa, skrytykował Snowflake za to, że nie zabezpieczył środowisk demonstracyjnych za pomocą usługi MFA i nie zablokował dostępu byłemu pracownikowi. To niedopatrzenie pozwoliło atakującym skutecznie wykorzystać skompromitowane dane uwierzytelniające i osoby kradnące informacje.
Naruszenie danych Ticketmaster i Snowflake podkreśla znaczenie solidnych środków cyberbezpieczeństwa, w tym korzystania z usługi MFA i starannego zarządzania kontami. W miarę ewolucji zagrożeń cybernetycznych organizacje muszą zachować czujność i wdrożyć kompleksowe protokoły bezpieczeństwa, aby chronić wrażliwe dane.
