Ticketmaster wird Opfer eines Cyberangriffs auf die Snowflake-Plattform, bei dem Benutzerdaten kompromittiert wurden
Ticketmaster und zahlreiche andere Unternehmen waren Opfer eines schwerwiegenden Datendiebstahls aufgrund eines Cyberangriffs auf die Snowflake-Plattform. Sicherheitsforscher berichteten, dass erhebliche Mengen an Informationen gestohlen wurden, was Millionen von Benutzern betraf.
Inhaltsverzeichnis
Entdeckung des Bruchs
Der Datendiebstahl erregte die Öffentlichkeit, als eine berüchtigte Hackergruppe behauptete, die Daten von 560 Millionen Nutzern gestohlen zu haben und 500.000 Dollar für die Informationen forderte. Live Nation Entertainment, die Muttergesellschaft von Ticketmaster, bestätigte den Datendiebstahl in einer SEC-Meldung und gab damit einen unbefugten Zugriff auf eine Cloud-Datenbank eines Drittanbieters bekannt.
Am 31. Mai gab Snowflake bekannt, dass es einen Cyber-Vorfall untersucht, von dem eine begrenzte Anzahl von Kunden betroffen ist. Die Bedrohungsakteure zielten mithilfe einer Einzelfaktor-Authentifizierung auf Kundenkonten ab und nutzten zuvor erhaltene Anmeldeinformationen. Snowflake betonte, dass es keine Hinweise auf eine Schwachstelle oder einen Verstoß gegen die Kernplattform gebe.
Sicherheitsmaßnahmen und Reaktion des Unternehmens
Snowflake gab an, dass die kompromittierten Anmeldeinformationen einem ehemaligen Mitarbeiter gehörten und für den Zugriff auf Demokonten verwendet wurden, die keine vertraulichen Daten enthielten. Im Gegensatz zu den Unternehmensystemen von Snowflake waren die Demokonten nicht mit einer Multi-Faktor-Authentifizierung (MFA) gesichert. Das Unternehmen stellte Indikatoren für Kompromittierungen (IoCs) zur Verfügung und empfahl Maßnahmen zur Schadensbegrenzung bei verdächtiger Kontoaktivität.
Der Cyberangriff betraf zahlreiche Organisationen, darunter Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank und State Farm. Die Santander Bank meldete einen unbefugten Zugriff auf ihre Datenbanken, wodurch Kunden- und Mitarbeiterinformationen gefährdet wurden. Der Angriff hatte möglicherweise Auswirkungen auf rund 400 Organisationen, und die Angreifer forderten von Snowflake 20 Millionen Dollar.
Untersuchungsergebnisse
Bedrohungsakteure behaupteten, Okta-Schutzmaßnahmen umgangen und Sitzungstoken generiert zu haben, wodurch sie riesige Datenmengen stehlen konnten. Berichten zufolge wurden über 500 Instanzen von Demoumgebungen kompromittiert. Das Australian Cyber Security Center bestätigte die erhöhte Bedrohungsaktivität im Zusammenhang mit Snowflake-Kundenumgebungen.
Der Sicherheitsforscher Kevin Beaumont betonte, dass Snowflakes Versäumnis, MFA in Demoumgebungen zu verwenden und Mitarbeiterkonten nicht ausreichend zu sichern, zum Verstoß beigetragen habe. Die Bedrohungsakteure, die als auf Telegram aktive Teenager identifiziert wurden, nutzten Infostealer, um mit gestohlenen Anmeldeinformationen auf Snowflake-Datenbanken zuzugreifen.
Empfehlungen für Snowflake/Tickmaster-Kunden
Kunden wird empfohlen, inaktive Konten zu deaktivieren, sicherzustellen, dass MFA aktiviert ist, die Anmeldeinformationen für aktive Konten zurückzusetzen und die Risikominderungsempfehlungen von Snowflake zu befolgen, um ihre Daten zu schützen.
Der durch Snowflake ermöglichte Datendiebstahl bei Ticketmaster unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und sorgfältiger Verwaltung der Anmeldeinformationen zum Schutz vor komplexen Cyberbedrohungen.