日前,一个臭名昭著的黑客组织声称窃取了 5.6 亿用户的信息,并索价 50 万美元。Ticketmaster 母公司 Live Nation Entertainment 在提交给美国证券交易委员会的一份文件中,证实有人未经授权访问了 “第三方云数据库环境”,其中包含了在线票务销售平台的数据。
2024 年 5 月 27 日,一名犯罪威胁攻击者在暗网上出售据称是公司用户数据的信息。收到消息后,公司立刻组织安全专家,以期最大程度上降低用户和公司面临的安全风险。目前,公司正在与执法部门合作—— Live Nation Entertainment 。
从声明中可以看出,Live Nation Entertainment 并未指明对此次数据泄露事件负责的第三方服务提供商,但业内普遍认为是 Snowflake(一个云人工智能数据平台,成千上万的公司使用它来存储、管理和分析大量数据)。
Snowflake 证实遭遇数据泄漏
5 月 31 日,Snowflake 透露,正在调查一起影响少数客户的数据泄漏事件,经过对事件详细分析,安全人员发现威胁攻击者利用此前购买或通过信息窃取恶意软件获得的凭证,进入了内部系统。值得一提的是, Snowflake 一再强调,没有任何证据表明恶意活动是由于其平台存在漏洞或在职/离职 Snowflake 人员的凭证泄露导致的。
声明中还透露, Snowflake 一名前员工的个人凭证泄露了,并被用于访问不包含敏感数据的演示账户。(演示账户与 Snowflake 的生产或公司系统没有连接,与 Snowflake 的企业和生产系统不同,演示账户背后没有 Okta 或多因素身份验证 (MFA))。
Snowflake 公司不断指出,针对一些用户账户的网络威胁活动有所增加,凭证填充可能是罪魁祸首,而并非是安全漏洞、配置错误或 Snowflake 自身系统受损。目前,公司一直在持续调查中,已经及时通知了可能受到影响的少数客户。
SOCRadar 在分析结果中指出,在与被入侵的 Snowflake 账户相关联的窃取日志中检测到 500 多个演示环境实例。与此同时,澳大利亚网络安全中心(Australian Cyber Security Center)宣布,它了解到几家使用 Snowflake 环境的公司被威胁攻击者成功入侵了。
安全研究员 Kevin Beaumont 表示,就算 Snowflake 公司声称自己不是数据泄露事件的受害者,但威胁攻击者的说法和 Snowflake 公司的公告都表明了事实情况可能并非如此。Snowflake 的一名员工的账户没有得到妥善保护,该员工感染了信息窃取程序。
此外,根据 Beaumont 的说法,数据泄漏事件背后的威胁攻击者是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年,他们依靠信息窃取者窃取的客户凭据访问 Snowflake 数据库。同时,SOCRadar 也指出,威胁攻击者于 5 月 23 日首次出现在一个暗网论坛上,当时他们使用 “Whitewarlock ”的化名吹嘘桑坦德集团的漏洞,并索要 200 万美元的数据。
最后,安全专家建议 Snowflake 客户禁用不再活跃的账户,确保启用了 MFA,重置活跃账户的凭据,并应用云存储提供商提供的缓解建议。
参考文章:
https://www.securityweek.com/snowflake-hack-impacts-ticketmaster-other-organizations/