日前，一個(gè)臭名昭著的黑客組織聲稱竊取了 5.6 億用戶的信息，并索價(jià) 50 萬美元。Ticketmaster 母公司 Live Nation Entertainment 在提交給美國證券交易委員會(huì)的一份文件中，證實(shí)有人未經(jīng)授權(quán)訪問了 “第三方云數(shù)據(jù)庫環(huán)境”，其中包含了在線票務(wù)銷售平臺(tái)的數(shù)據(jù)。

2024 年 5 月 27 日，一名犯罪威脅攻擊者在暗網(wǎng)上出售據(jù)稱是公司用戶數(shù)據(jù)的信息。收到消息后，公司立刻組織安全專家，以期最大程度上降低用戶和公司面臨的安全風(fēng)險(xiǎn)。目前，公司正在與執(zhí)法部門 合作—— Live Nation Entertainment 。

從聲明中可以看出，Live Nation Entertainment 并未指明對此次數(shù)據(jù)泄露事件負(fù)責(zé)的第三方服務(wù)提供商，但業(yè)內(nèi)普遍認(rèn)為是 Snowflake（一個(gè)云人工智能數(shù)據(jù)平臺(tái)，成千上萬的公司使用它來存儲(chǔ)、管理和分析大量數(shù)據(jù)）。

Snowflake 證實(shí)遭遇數(shù)據(jù)泄漏

5 月 31 日，Snowflake 透露，正在調(diào)查一起影響少數(shù)客戶的數(shù)據(jù)泄漏事件，經(jīng)過對事件詳細(xì)分析，安全人員發(fā)現(xiàn)威脅攻擊者利用此前購買或通過信息竊取惡意軟件獲得的憑證，進(jìn)入了內(nèi)部系統(tǒng)。值得一提的是， Snowflake 一再強(qiáng)調(diào)，沒有任何證據(jù)表明惡意活動(dòng)是由于其平臺(tái)存在漏洞或在職/離職 Snowflake 人員的憑證泄露導(dǎo)致的。

聲明中還透露， Snowflake  一名前員工的個(gè)人憑證泄露了，并被用于訪問不包含敏感數(shù)據(jù)的演示賬戶。（演示賬戶與 Snowflake 的生產(chǎn)或公司系統(tǒng)沒有連接，與 Snowflake 的企業(yè)和生產(chǎn)系統(tǒng)不同，演示賬戶背后沒有 Okta 或多因素身份驗(yàn)證 (MFA)）。

Snowflake 公司不斷指出，針對一些用戶賬戶的網(wǎng)絡(luò)威脅活動(dòng)有所增加，憑證填充可能是罪魁禍?zhǔn)?，而并非是安全漏洞、配置錯(cuò)誤或 Snowflake 自身系統(tǒng)受損。目前，公司一直在持續(xù)調(diào)查中，已經(jīng)及時(shí)通知了可能受到影響的少數(shù)客戶。

SOCRadar 在分析結(jié)果中指出，在與被入侵的 Snowflake 賬戶相關(guān)聯(lián)的竊取日志中檢測到 500 多個(gè)演示環(huán)境實(shí)例。與此同時(shí)，澳大利亞網(wǎng)絡(luò)安全中心（Australian Cyber Security Center）宣布，它了解到幾家使用 Snowflake 環(huán)境的公司被威脅攻擊者成功入侵了。

安全研究員 Kevin Beaumont 表示，就算 Snowflake 公司聲稱自己不是數(shù)據(jù)泄露事件的受害者，但威脅攻擊者的說法和 Snowflake 公司的公告都表明了事實(shí)情況可能并非如此。Snowflake 的一名員工的賬戶沒有得到妥善保護(hù)，該員工感染了信息竊取程序。

此外，根據(jù) Beaumont 的說法，數(shù)據(jù)泄漏事件背后的威脅攻擊者是一群 “在 Telegram 上公開活躍了一段時(shí)間 ”的青少年，他們依靠信息竊取者竊取的客戶憑據(jù)訪問 Snowflake 數(shù)據(jù)庫。同時(shí)，SOCRadar 也指出，威脅攻擊者于 5 月 23 日首次出現(xiàn)在一個(gè)暗網(wǎng)論壇上，當(dāng)時(shí)他們使用 “Whitewarlock ”的化名吹噓桑坦德集團(tuán)的漏洞，并索要 200 萬美元的數(shù)據(jù)。

最后，安全專家建議 Snowflake 客戶禁用不再活躍的賬戶，確保啟用了 MFA，重置活躍賬戶的憑據(jù)，并應(yīng)用云存儲(chǔ)提供商提供的緩解建議。

參考文章：https://www.securityweek.com/snowflake-hack-impacts-ticketmaster-other-organizations/