云储存公司遭受数据泄露，Ticketmaster 等多家机构信息被盗

云储存公司 Snowflake 数据泄露导致 Ticketmaster 等多家机构信息被盗，黑客声称已窃取 Snowflake 2000 多个客户实例的数据。

据安全研究人员报告，云存储公司 Snowflake 发生数据泄露事件，Ticketmaster 和其他多家机构的大量信息被盗。

在上周末提交给美国证券交易委员会的一份文件中，Ticketmaster 母公司 Live Nation Entertainment 证实，有人未经授权访问了 “第三方云数据库环境”，其中主要包含在线票务销售平台的数据。

“2024年5月27日，一名黑客通过暗网出售所谓公司用户数据。我们正在努力降低用户和公司面临的风险，目前正在与执法部门合作。”文件中写道。

虽然 Live Nation Entertainment 并未指明对此次漏洞负责的第三方服务提供商，但威胁情报部门已得知该服务商为 Snowflake，即一个云人工智能数据平台，大量公司使用该平台存储、管理和分析大量数据。

5 月 31 日，Snowflake 披露，在威胁分子瞄准只有单因素身份验证的客户账户后，该公司正在调查一起影响少数客户的网络事件。

Snowflake 在其社区论坛上发表声明说：“作为此次活动的一部分，黑客利用了此前购买的或通过信息窃取恶意软件获得的凭证。”

该公司表示，没有发现任何证据表明此次恶意活动是由于其平台存在漏洞或被入侵，亦或 “ Snowflake 在职或离职人员证书被泄露 ”造成的。

然而，该声明确实透露一名前员工的个人凭证被泄露的情况，该凭证被用于访问不包含敏感数据的演示账户。

“演示账户没有被连接到 Snowflake 的生产或企业系统。与 Snowflake 的企业和生产系统不同的是，演示账户背后没有 Okta 或多因素身份验证 (MFA)，因此黑客才能成功访问。"该公司说。

在另一篇知识库文章中，该公司警告道 “针对公司客户账户的网络攻击数量变多”，且再次强调是此次数据泄露是凭证填充造成的，而不是漏洞、配置错误或 Snowflake 系统受损。

该公司表示：“在调查过程中，我们已及时通知公司认为可能受到影响的少数客户。”

知识库文章还为发现账户存在可疑活动的组织提供 IoC 和一些建议。

Snowflake 黑客的背后是青少年

上周，一名声称对 Snowflake 活动负责的黑客在与 Hudson Rock 的对话中表示，他们访问了 Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等组织的数据，此外还有 Ticketmaster 这一彩票公司的数据。

Santander Bank 于 5 月中旬披露，该行由第三方供应商托管的数据库遭到未经授权访问，同时声称智利、西班牙和乌拉圭客户的信息及所有在职和离职员工的数据遭到泄露。

总体而言，大约有 400 家组织可能受到 Snowflake 事件的影响，该黑客声称希望 Snowflake 支付 2000 万美元来换取这些数据。

Hudson Rock 在一篇现已删除的帖子中指出，攻击者还声称入侵了 Snowflake 员工的 ServiceNow 账户，并绕过了 Okta 保护措施，同时获得了生成会话令牌的能力，从而得以窃取大量数据。

该黑客向 Hudson Rock 提供了一个 CSV 文件，其中包含在 Snowflake 服务器上运行的 2000 多个客户实例的数据，这些数据包括 2023 年 10 月一名感染信息窃取程序的 Snowflake 员工信息。

“报告显示，在与被入侵的 Snowflake 账户相关的窃取者日志中检测出 500 多个演示环境实例，”SOCRadar 在分析中指出。

与此同时，澳大利亚网络安全中心宣布发现 “一些利用 Snowflake 环境的公司被成功入侵”，并正在跟踪与 Snowflake 客户环境有关威胁活动的增加情况。

尽管 Snowflake 可能声称自己不是数据泄露事件的受害者，但攻击者的说法和该公司声明完全相反，安全研究员 Kevin Beaumont 指出：事实是，该公司一名员工的账户没有得到妥善保护，导致该账户感染了信息窃取程序。

因此，该研究人员表示，虽然 Snowflake 试图将黑客此次攻击的责任归咎于客户，但该公司也要对这一事件负责。

研究人员说：“Snowflake 也落入了陷阱，因为他们既没有在演示环境中使用多因素身份验证，也没有禁用离职者的访问权限。”

据 Beaumont 所说，此次攻击事件背后的黑客是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年，他们依靠信息窃取者而使用客户被盗的凭据访问 Snowflake 数据库。

SOCRadar 指出，该黑客于 5 月 23 日首次出现于暗网论坛上，当时他们使用 “Whitewarlock ”的化名吹嘘 Santander Group 的漏洞，并将窃取的数据标价为200万美元。

“Whitewarlock 在网络安全界的活动和口碑尚不明确，也没有任何已知历史记录。他们的突然出现和具体要求表明，此次攻击大概是一次机会主义攻击，缺乏协调准备。”SOCRadar 指出。

建议 Snowflake 客户禁用不活跃的账户，并确保启用 MFA，同时重置活跃账户的凭据，采用云存储提供商提供的缓解建议。

Ticketmaster 此前已发生数据泄露

据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。

该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息，同时还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。

（转载请注明出处@安全威胁纵横，消息来源：https://www.securityweek.com/snowflake-hack-impacts-ticketmaster-other-organizations/）

（文中资讯链接：https://hackernews.cc/archives/52845）

原文始发于微信公众号（安全威胁纵横）：云储存公司遭受数据泄露，Ticketmaster 等多家机构信息被盗