Ticketmaster подтвердила утечку пользовательских данных через Snowflake

Live Nation Entertainment, также известная как Ticketmaster, подала официальную форму 8-K в Комиссию по ценным бумагам и биржам США (SEC), официально признавая реальность недавно всплывшей информации об утечке данных. В своем заявлении к SEC Ticketmaster сообщает, что доступ к данным компании осуществлялся через стороннюю облачную базу данных. Это услуга, которую предоставляет облачная компания Snowflake.

Речь идет о сливе, информация о котором появилась 27 мая. Тогда в даркнете появилось объявление о продаже пользовательских данных клиентов Ticketmaster. При этом сам слив был осуществлен через стороннего поставщика Ticketmaster, компанию Snowflake, которая является крайне заметным игроком на облачном рынке с капитализацией в 45 миллиардов долларов.

Если утечка произошла у Snowflake, то утечка может произойти у кого угодно. За последние несколько лет хранение баз в облаке стало повсеместно применяться, и теперь доверие к этому инструменту, по крайней мере для крупных компаний, будет подорвано.

Сообщается, что пострадало около 400 корпоративных клиентов, данные которых хранились у Snowflake. Хронология событий была следующая:

• 14 мая испанский банк Santander заявил о «неавторизованном доступе к базе данных, которая была размещена у стороннего провайдера».
• 27-29 мая на дарквебе появились посты о том, что продается база Ticketmaster, одного из крупнейших сервисов продажи билетов онлайн, говорится о 560 миллионах утекших аккаунтов.
• 30 мая подтверждается, что куски из базы, приведенные в качестве примера о том, что утечка действительно произошла, достоверны.
• 31 мая BBC сообщает о том, что база из 30 миллионов клиентов Santander продается на дарквебе за 2 миллиона долларов, в ней 30 миллионов данных пользователей, 6 миллионов номеров счетов и балансы на них, 28 миллионов номеров кредитных карт.
• 31 мая безопасники HudsonRock выкладывают статью с разговором в Telegram с предполагаемым участником атаки, который рассказывает о векторе атаки, указывающем на то, что данные были слиты из Snowflake.
• 31 мая Snowflake подтверждает, что произошла утечка данных, но подробности не сообщает.

Кроме того, что данная ситуация тянет на один из крупнейших сливов в истории корпоративных данных, есть и еще несколько тревожных звоночком. Так, Snowflake пока прямо не подтвердила, что злоумышленнику не удалось получить доступ к критически важным данным. И комментировать этот вопрос представители компании пока отказываются. Касательно чувствительности слитых данных молчит и пострадавшая сторона в лице Ticketmaster и других компаний.

Вместо этого Snoflake сама перешла в наступление и вчера заявила, что виной всему небрежная работа безопасников Ticketmaster, Santander и других ее клиентов. Якобы во время общения со злоумышленником Хадсон Рок выяснил, что тот сумел получить данные благодаря низкому уровню работы со стороны клиентов, из-за чего он и смог в итоге получить доступ к данным Snowflake. Речь идет, вероятнее всего, об отсутствии двухфакторной аутентификации со стороны Ticketmaster и других клиентов, вину на которых возлагает Snowflake.

Также вчера, 2 июня, Snowflake совместно с CrowdStrike и Mandiant опубликовала заявление касательно произошедшего взлома, ознакомиться с которым можно здесь.