Data breach: in un recente sviluppo nel campo della sicurezza informatica, Ticketmaster e la società finanziaria Santander hanno ammesso di aver subito una violazione dei dati, che sembra essere legata a un attacco alla piattaforma cloud Snowflake. Questo incidente potrebbe avere conseguenze di vasta portata, poiché Snowflake serve numerosi clienti di alto profilo, tra cui Adobe, Canva e Mastercard.
L’origine della violazione dei dati
La prima indicazione di problemi è emersa il 27 maggio, quando un account appena registrato sul forum criminale Exploit ha pubblicizzato la vendita di 1,3 TB di dati di Ticketmaster, contenenti oltre 560 milioni di record. L’hacker ha richiesto $500.000 per il database rubato, che includeva nomi, indirizzi, indirizzi e-mail, numeri di telefono, alcuni dettagli delle carte di credito, informazioni sulle vendite dei biglietti e sui dettagli degli ordini.
Il giorno seguente, il gruppo di hacker ShinyHunters ha pubblicato lo stesso annuncio su BreachForums, aumentando il prezzo a $2 milioni. ShinyHunters aveva precedentemente guadagnato notorietà nel 2020 per una serie di furti di dati e nel 2021 per la vendita di 70 milioni di record AT&T. Tuttavia, l’autenticità di questi annunci era incerta, poiché né Ticketmaster né la sua società madre Live Nation avevano ancora confermato il furto di dati.
Il 30 maggio, ShinyHunters ha anche affermato di vendere 30 milioni di dettagli dei clienti e informazioni sul personale di Santander. Le motivazioni del gruppo per pubblicare questi annunci su BreachForums potrebbero essere state quelle di ripristinare la reputazione del forum, che era stato recentemente chiuso dall’FBI.
Il ruolo di Snowflake
L’azienda di sicurezza informatica israeliana Hudson Rock ha collegato questi attacchi ai sistemi di Snowflake, riferendo che un hacker aveva tentato di vendere i dati rubati a Snowflake per $20 milioni. Il post del blog di Hudson Rock, successivamente rimosso, descriveva le conversazioni tra i ricercatori dell’azienda e l’hacker presunto.
Sicurezza degli account Snowflake
Diversi esperti di sicurezza ritengono che gli account Snowflake siano stati presi di mira utilizzando malware che rubano informazioni, che hanno ottenuto le credenziali di accesso necessarie per accedere ai sistemi del fornitore di servizi cloud. La società di sicurezza Mandiant di proprietà di Google ha indagato su questi incidenti e ha segnalato di aver trovato segni di tale malware.
Ticketmaster ha confermato che il suo database rubato era ospitato su Snowflake, mentre Santander ha riconosciuto che uno dei suoi database, ospitato da un fornitore di terze parti, era stato consultato senza autorizzazione. Il responsabile della sicurezza informatica di Snowflake, Brad Jones, ha riconosciuto l’incidente di sicurezza in un post sul blog il 27 maggio, affermando che un “numero limitato” di account cliente era stato preso di mira e che era stato effettuato l’accesso all’account demo di un ex membro dello staff. Tuttavia, Snowflake non ritiene che sia stata lei la fonte delle credenziali del cliente trapelate.
Azioni consigliate per la sicurezza
Le agenzie governative, incluso il Cyber Security Center australiano, hanno emesso avvisi alle aziende che utilizzano ambienti Snowflake, esortandole a reimpostare le credenziali dell’account, attivare l’autenticazione a più fattori e rivedere l’attività degli utenti.
La società di sicurezza cloud Mitiga ha riferito che un autore di minacce ha preso di mira le organizzazioni che utilizzano i database Snowflake, utilizzando uno strumento chiamato “rapeflake” nel processo. Il CTO sul campo di Mitiga, Roei Sherman, suggerisce che l’aggressore potrebbe aver ottenuto informazioni sui sistemi di Snowflake e poi rubato informazioni sui suoi clienti, possibilmente utilizzando strumenti automatizzati e forzando brutalmente l’accesso agli account.
Per proteggere la tua azienda da violazioni dei dati simili, è importante adottare le seguenti best practice:
- Utilizza l’autenticazione a più fattori: Aggiungendo un ulteriore livello di sicurezza, l’autenticazione a più fattori può aiutare a prevenire l’accesso non autorizzato ai tuoi account Snowflake.
- Monitora l’attività degli utenti: Rivedi regolarmente l’attività degli utenti all’interno dei tuoi account Snowflake per individuare eventuali attività sospette.
- Utilizza password uniche e robuste: Assicurati che i tuoi dipendenti utilizzino password uniche e robuste per i loro account Snowflake, e considera l’utilizzo di un gestore di password per facilitare la gestione delle credenziali.
- Educazione dei dipendenti: Offri formazione regolare ai tuoi dipendenti su come riconoscere e rispondere alle minacce informatiche, come phishing e malware.
- Aggiorna regolarmente i sistemi: Assicurati che i tuoi sistemi e software siano sempre aggiornati con le patch di sicurezza più recenti per ridurre il rischio di vulnerabilità esplorabili.
- Monitora i forum e i siti di hacking: Tenendoti informato sulle ultime minacce e violazioni dei dati, puoi adottare misure proattive per proteggere la tua azienda.
- Implementa un piano di risposta agli incidenti: Preparati a eventuali violazioni dei dati o attacchi informatici sviluppando un piano di risposta agli incidenti che delinei i passaggi da seguire in caso di emergenza.
- Lavora con fornitori di sicurezza fidati: Collabora con fornitori di sicurezza affidabili per monitorare la tua infrastruttura e fornire consulenza sulla sicurezza.
Implementando queste best practice, puoi aiutare a proteggere la tua azienda dalle minacce informatiche e garantire la sicurezza dei tuoi dati.
Fonte: https://www.wired.com/story/snowflake-breach-ticketmaster-santander-ticketek-hacked/
