Ticketmaster sufre un ciberataque de violación de datos de la plataforma Snowflake que comprometió los datos del usuario
Ticketmaster, junto con muchas otras organizaciones, experimentó una importante filtración de datos debido a un ciberataque a la plataforma Snowflake. Los investigadores de seguridad informaron que se robaron cantidades sustanciales de información, lo que afectó a millones de usuarios.
Tabla de contenido
Descubrimiento de la infracción
La violación llamó la atención del público cuando un notorio grupo de piratas informáticos afirmó haber extraído los datos de 560 millones de usuarios, exigiendo 500.000 dólares por la información. Live Nation Entertainment, la empresa matriz de Ticketmaster, confirmó la violación en una presentación ante la SEC, revelando acceso no autorizado a una base de datos en la nube de terceros.
El 31 de mayo, Snowflake reveló que estaba investigando un incidente cibernético que afectaba a un número limitado de clientes. Los actores de amenazas atacaron cuentas de clientes utilizando autenticación de un solo factor y aprovecharon las credenciales obtenidas previamente. Snowflake enfatizó que no había evidencia de vulnerabilidad o violación de su plataforma principal.
Medidas de seguridad y respuesta de la empresa
Snowflake afirmó que las credenciales comprometidas pertenecían a un ex empleado y se utilizaban para acceder a cuentas de demostración, que no contenían datos confidenciales. Las cuentas de demostración no estaban protegidas con autenticación multifactor (MFA), a diferencia de los sistemas corporativos de Snowflake. La empresa proporcionó indicadores de compromiso (IoC) y recomendó mitigaciones para actividades sospechosas de cuentas.
El ciberataque afectó a numerosas organizaciones, incluidas Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank y State Farm. Banco Santander reportó accesos no autorizados a sus bases de datos, comprometiendo información de clientes y empleados. El ataque afectó potencialmente a unas 400 organizaciones y los atacantes exigieron 20 millones de dólares a Snowflake.
Hallazgos de la investigación
Los actores de amenazas afirmaron haber eludido las protecciones de Okta y generado tokens de sesión, lo que les permitió robar cantidades masivas de datos. Los informes indicaron que más de 500 instancias del entorno de demostración se vieron comprometidas. El Centro Australiano de Seguridad Cibernética reconoció el aumento de la actividad de amenazas relacionadas con los entornos de los clientes de Snowflake.
El investigador de seguridad Kevin Beaumont destacó que el hecho de que Snowflake no utilizara MFA en entornos de demostración y no protegiera adecuadamente las cuentas de los empleados contribuyó a la infracción. Los actores de amenazas, identificados como adolescentes activos en Telegram, utilizaron ladrones de información para acceder a las bases de datos de Snowflake con credenciales robadas.
Recomendaciones para clientes de Snowflake/Tickmaster
Se recomienda a los clientes que deshabiliten las cuentas inactivas, se aseguren de que MFA esté habilitado, restablezcan las credenciales de las cuentas activas y sigan las recomendaciones de mitigación de Snowflake para proteger sus datos.
La filtración de datos de Ticketmaster, facilitada a través de Snowflake, subraya la importancia de medidas de seguridad sólidas, incluida la autenticación multifactor y la gestión vigilante de credenciales, para protegerse contra amenazas cibernéticas sofisticadas.