Ticketmaster subit une cyberattaque par violation de données sur la plateforme Snowflake qui a compromis les données des utilisateurs
Ticketmaster, ainsi que plusieurs autres organisations, ont subi une violation de données importante en raison d'une cyberattaque sur la plateforme Snowflake. Les chercheurs en sécurité ont signalé que d'importantes quantités d'informations avaient été volées, affectant des millions d'utilisateurs.
Table des matières
Découverte de la Brèche
La violation a attiré l'attention du public lorsqu'un groupe de piratage informatique notoire a affirmé avoir exfiltré les données de 560 millions d'utilisateurs, exigeant 500 000 $ pour ces informations. Live Nation Entertainment, la société mère de Ticketmaster, a confirmé la violation dans un dossier déposé auprès de la SEC, révélant un accès non autorisé à une base de données cloud tierce.
Le 31 mai, Snowflake a révélé qu'elle enquêtait sur un cyber-incident affectant un nombre limité de clients. Les auteurs de la menace ont ciblé les comptes clients à l'aide d'une authentification à facteur unique et ont exploité les informations d'identification précédemment obtenues. Snowflake a souligné qu'il n'y avait aucune preuve d'une vulnérabilité ou d'une violation de sa plate-forme principale.
Mesures de sécurité et réponse de l'entreprise
Snowflake a déclaré que les informations d'identification compromises appartenaient à un ancien employé et étaient utilisées pour accéder à des comptes de démonstration, qui ne contenaient pas de données sensibles. Les comptes de démonstration n'étaient pas sécurisés par l'authentification multifacteur (MFA), contrairement aux systèmes d'entreprise de Snowflake. La société a fourni des indicateurs de compromission (IoC) et recommandé des mesures d'atténuation en cas d'activité suspecte des comptes.
La cyberattaque a touché de nombreuses organisations, notamment Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank et State Farm. La banque Santander a signalé un accès non autorisé à ses bases de données, compromettant les informations sur les clients et les employés. L'attaque a potentiellement touché environ 400 organisations, les attaquants exigeant 20 millions de dollars de Snowflake.
Résultats de l'enquête
Les auteurs de la menace ont affirmé avoir contourné les protections Okta et généré des jetons de session, leur permettant ainsi de voler d'énormes quantités de données. Les rapports indiquent que plus de 500 instances d’environnement de démonstration ont été compromises. Le Centre australien de cybersécurité a reconnu l'activité accrue des menaces liées aux environnements clients de Snowflake.
Le chercheur en sécurité Kevin Beaumont a souligné que l'incapacité de Snowflake à utiliser MFA sur des environnements de démonstration et à sécuriser correctement les comptes des employés avait contribué à la violation. Les auteurs de la menace, identifiés comme des adolescents actifs sur Telegram, ont utilisé des voleurs d'informations pour accéder aux bases de données Snowflake avec des informations d'identification volées.
Recommandations pour les clients Snowflake/Tickmaster
Il est conseillé aux clients de désactiver les comptes inactifs, de s'assurer que MFA est activé, de réinitialiser les informations d'identification des comptes actifs et de suivre les recommandations d'atténuation de Snowflake pour protéger leurs données.
La violation de données Ticketmaster, facilitée par Snowflake, souligne l'importance de mesures de sécurité robustes, notamment l'authentification multifacteur et la gestion vigilante des informations d'identification, pour se prémunir contre les cybermenaces sophistiquées.