云储存公司 Snowflake 数据泄露导致 Ticketmaster 等多家机构信息被盗,黑客声称已窃取 Snowflake 2000 多个客户实例的数据。
据安全研究人员报告,云存储公司 Snowflake 发生数据泄露事件,Ticketmaster 和其他多家机构的大量信息被盗。
在上周末提交给美国证券交易委员会的一份文件中,Ticketmaster 母公司 Live Nation Entertainment 证实,有人未经授权访问了 “第三方云数据库环境”,其中主要包含在线票务销售平台的数据。
“2024年5月27日,一名黑客通过暗网出售所谓公司用户数据。我们正在努力降低用户和公司面临的风险,目前正在与执法部门合作。”文件中写道。
5 月 31 日,Snowflake 披露,在威胁分子瞄准只有单因素身份验证的客户账户后,该公司正在调查一起影响少数客户的网络事件。
Snowflake 在其社区论坛上发表声明说:“作为此次活动的一部分,黑客利用了此前购买的或通过信息窃取恶意软件获得的凭证。”
然而,该声明确实透露一名前员工的个人凭证被泄露的情况,该凭证被用于访问不包含敏感数据的演示账户。
“演示账户没有被连接到 Snowflake 的生产或企业系统。与 Snowflake 的企业和生产系统不同的是,演示账户背后没有 Okta 或多因素身份验证 (MFA),因此黑客才能成功访问。”该公司说。
该公司表示:“在调查过程中,我们已及时通知公司认为可能受到影响的少数客户。”
Snowflake 黑客的背后是青少年
上周,一名声称对 Snowflake 活动负责的黑客在与 Hudson Rock 的对话中表示,他们访问了 Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等组织的数据,此外还有 Ticketmaster 这一彩票公司的数据。
Santander Bank 于 5 月中旬披露,该行由第三方供应商托管的数据库遭到未经授权访问,同时声称智利、西班牙和乌拉圭客户的信息及所有在职和离职员工的数据遭到泄露。
总体而言,大约有 400 家组织可能受到 Snowflake 事件的影响,该黑客声称希望 Snowflake 支付 2000 万美元来换取这些数据。
Hudson Rock 在一篇现已删除的帖子中指出,攻击者还声称入侵了 Snowflake 员工的 ServiceNow 账户,并绕过了 Okta 保护措施,同时获得了生成会话令牌的能力,从而得以窃取大量数据。
该黑客向 Hudson Rock 提供了一个 CSV 文件,其中包含在 Snowflake 服务器上运行的 2000 多个客户实例的数据,这些数据包括 2023 年 10 月一名感染信息窃取程序的 Snowflake 员工信息。
“报告显示,在与被入侵的 Snowflake 账户相关的窃取者日志中检测出 500 多个演示环境实例,”SOCRadar 在分析中指出。
与此同时,澳大利亚网络安全中心宣布发现 “一些利用 Snowflake 环境的公司被成功入侵”,并正在跟踪与 Snowflake 客户环境有关威胁活动的增加情况。
尽管 Snowflake 可能声称自己不是数据泄露事件的受害者,但攻击者的说法和该公司声明完全相反,安全研究员 Kevin Beaumont 指出:事实是,该公司一名员工的账户没有得到妥善保护,导致该账户感染了信息窃取程序。
因此,该研究人员表示,虽然 Snowflake 试图将黑客此次攻击的责任归咎于客户,但该公司也要对这一事件负责。
研究人员说:“Snowflake 也落入了陷阱,因为他们既没有在演示环境中使用多因素身份验证,也没有禁用离职者的访问权限。”
据 Beaumont 所说,此次攻击事件背后的黑客是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年,他们依靠信息窃取者而使用客户被盗的凭据访问 Snowflake 数据库。
SOCRadar 指出,该黑客于 5 月 23 日首次出现于暗网论坛上,当时他们使用 “Whitewarlock ”的化名吹嘘 Santander Group 的漏洞,并将窃取的数据标价为200万美元。
“Whitewarlock 在网络安全界的活动和口碑尚不明确,也没有任何已知历史记录。他们的突然出现和具体要求表明,此次攻击大概是一次机会主义攻击,缺乏协调准备。”SOCRadar 指出。
建议 Snowflake 客户禁用不活跃的账户,并确保启用 MFA,同时重置活跃账户的凭据,采用云存储提供商提供的缓解建议。
Ticketmaster 此前已发生数据泄露
据称,在最近恢复运营的黑客论坛 BreachForums 上,一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。
该公司泄露数据大小为 1.3TB,其中包括客户的全部信息(即姓名、家庭住址、电子邮件地址和电话号码)、门票销售信息、订单和活动信息,同时还包含客户信用卡信息,如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期,其中金融交易时间跨度为 2012 年至 2024 年。
(转载请注明出处@安全威胁纵横,消息来源:https://www.securityweek.com/snowflake-hack-impacts-ticketmaster-other-organizations/)
(文中资讯链接:https://hackernews.cc/archives/52845)
原文始发于微信公众号(安全威胁纵横):云储存公司遭受数据泄露,Ticketmaster 等多家机构信息被盗
