Утечка данных на платформе Snowflake компании Ticketmaster затронула миллионы людей
Ticketmaster, наряду с несколькими другими организациями, столкнулся с серьезной утечкой данных из-за инцидента безопасности в компании облачного хранения Snowflake. Об этом нарушении стало известно, когда известная хакерская группа заявила, что получила информацию о 560 миллионах пользователей, потребовав за эти данные 500 000 долларов. Материнская компания Ticketmaster, Live Nation Entertainment, подтвердила несанкционированный доступ в недавнем заявлении SEC, подчеркнув, что сторонняя облачная среда базы данных была скомпрометирована.
Table of Contents
Подробности нарушения
Причиной взлома стала Snowflake, широко используемая облачная платформа данных искусственного интеллекта. 31 мая Snowflake сообщила, что злоумышленники атаковали учетные записи клиентов с однофакторной аутентификацией. Эти злоумышленники использовали учетные данные, полученные с помощью вредоносного ПО, и демонстрационные учетные записи, не защищенные многофакторной аутентификацией (MFA). Snowflake заверила, что ее производственные и корпоративные системы защищены с помощью MFA и не были скомпрометированы.
Группа хакеров и их претензии
Ответственность за взлом взяли на себя хакеры, предположительно группа подростков. Они сообщили, что помимо Ticketmaster имели доступ к данным нескольких известных организаций, включая Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus и State Farm. Они утверждали, что пострадало около 400 организаций, потребовав от Snowflake 20 миллионов долларов за украденные данные. Группа также утверждала, что обошла защиту Okta и сгенерировала токены сеанса, что привело к масштабной краже данных.
Усилия по реагированию и смягчению последствий
Snowflake активно информирует затронутых клиентов и предоставляет индикаторы компрометации (IoC), а также рекомендуемые меры по их устранению. Они подчеркнули, что взлом произошел не из-за уязвимости в их платформе, а скорее из-за атак с подстановкой учетных данных. Организациям было рекомендовано отключить неактивные учетные записи, включить MFA, сбросить учетные данные и следовать рекомендациям Snowflake по безопасности.
Последствия и мнения экспертов
Исследователи безопасности отметили, что, несмотря на заявления Snowflake, инцидент выявил серьезные недостатки в безопасности. Кевин Бомонт, эксперт по кибербезопасности, раскритиковал Snowflake за то, что она не защитила демонстрационные среды с помощью MFA и не смогла отключить доступ для бывшего сотрудника. Этот надзор позволил злоумышленникам эффективно использовать скомпрометированные учетные данные и инфокрадов.
Утечка данных Ticketmaster и Snowflake подчеркивает важность надежных мер кибербезопасности, включая использование MFA и тщательное управление учетными записями. Поскольку киберугрозы продолжают развиваться, организации должны сохранять бдительность и применять комплексные протоколы безопасности для защиты конфиденциальных данных.
