FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

安全研究人员表示，在云存储公司 Snowflake 数据泄露事件中，Ticketmaster 和其他多家机构的大量信息被盗。

日前，一个臭名昭著的黑客组织声称窃取了 5.6 亿用户的信息，并索价 50 万美元。在提交给美国证券交易委员会的一份文件中，Ticketmaster 母公司 Live Nation Entertainment 证实有人未经授权访问了 “第三方云数据库环境”，其中主要包含在线票务销售平台的数据。

2024 年 5 月 27 日，一名犯罪威胁攻击者在暗网上出售据称是公司用户数据的信息。收到消息后，公司立刻组织安全专家，最大程度上降低用户和公司面临的安全风险。目前，公司正在与执法部门 Live Nation Entertainment 合作。

从声明中可以看出，Live Nation Entertainment 并未指明对此次数据泄露事件负责的第三方服务提供商，但业内普遍认为是 Snowflake（一个云人工智能数据平台，成千上万的公司使用它来存储、管理和分析大量数据）。

5 月 31 日，Snowflake 透露，公司正在调查一起影响少数客户的网络事件，威胁攻击者利用了之前购买或通过信息窃取恶意软件获得的凭证。但 Snowflake  一再强调，没有发现任何证据表明恶意活动是由于其平台存在漏洞或在职/离职 Snowflake 人员的凭证泄露导致的。

值得一提的是，声明中透露， Snowflake  一名前员工的个人凭证泄露了，并被用于访问不包含敏感数据的演示账户。但是，演示账户与 Snowflake 的生产或公司系统没有连接，与 Snowflake 的企业和生产系统不同，演示账户背后没有 Okta 或多因素身份验证 (MFA)。

Snowflake 公司不断指出，针对一些客户账户的网络威胁活动有所增加，凭证填充是罪魁祸首，而并非漏洞、配置错误或 Snowflake 系统受损。目前，公司一直在持续调查中，已经及时通知了可能受到影响的少数客户。

SOCRadar 在其对攻击的分析中指出，在与被入侵的 Snowflake 账户相关联的窃取日志中检测到 500 多个演示环境实例。与此同时，澳大利亚网络安全中心（Australian Cyber Security Center）宣布，它了解到几家使用 Snowflake 环境的公司被威胁攻击者成功入侵了。

安全研究员 Kevin Beaumont 表示，Snowflake 公司可能会声称自己不是数据泄露事件的受害者，但攻击者的说法和 Snowflake 公司自己的声明都表明情况并非如此，Snowflake 的一名员工的账户没有得到妥善保护，该员工感染了信息窃取程序。

此外，根据 Beaumont 的说法，数据泄漏事件背后的威胁攻击者是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年，他们依靠信息窃取者窃取的客户凭据访问 Snowflake 数据库。同时，SOCRadar 也指出，威胁攻击者于 5 月 23 日首次出现在一个暗网论坛上，当时他们使用 “Whitewarlock ”的化名吹嘘桑坦德集团的漏洞，并索要 200 万美元的数据。

最后，安全专家建议 Snowflake 客户禁用不再活跃的账户，确保启用了 MFA，重置活跃账户的凭据，并应用云存储提供商提供的缓解建议。

参考文章：

https://www.securityweek.com/snowflake-hack-impacts-ticketmaster-other-organizations/

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022