日前，一個臭名昭著的黑客組織聲稱竊取了 5.6 億用戶的信息，并索價 50 萬美元。Ticketmaster 母公司 Live Nation Entertainment 在提交給美國證券交易委員會的一份文件中，證實有人未經授權訪問了 “第三方云數據庫環境”，其中包含了在線票務銷售平臺的數據。

2024 年 5 月 27 日，一名犯罪威脅攻擊者在暗網上出售據稱是公司用戶數據的信息。收到消息后，公司立刻組織安全專家，以期最大程度上降低用戶和公司面臨的安全風險。目前，公司正在與執法部門 合作—— Live Nation Entertainment 。

從聲明中可以看出，Live Nation Entertainment 并未指明對此次數據泄露事件負責的第三方服務提供商，但業內普遍認為是 Snowflake（一個云人工智能數據平臺，成千上萬的公司使用它來存儲、管理和分析大量數據）。

Snowflake 證實遭遇數據泄漏

5 月 31 日，Snowflake 透露，正在調查一起影響少數客戶的數據泄漏事件，經過對事件詳細分析，安全人員發現威脅攻擊者利用此前購買或通過信息竊取惡意軟件獲得的憑證，進入了內部系統。值得一提的是， Snowflake 一再強調，沒有任何證據表明惡意活動是由于其平臺存在漏洞或在職/離職 Snowflake 人員的憑證泄露導致的。

聲明中還透露， Snowflake  一名前員工的個人憑證泄露了，并被用于訪問不包含敏感數據的演示賬戶。（演示賬戶與 Snowflake 的生產或公司系統沒有連接，與 Snowflake 的企業和生產系統不同，演示賬戶背后沒有 Okta 或多因素身份驗證 (MFA)）。

Snowflake 公司不斷指出，針對一些用戶賬戶的網絡威脅活動有所增加，憑證填充可能是罪魁禍首，而并非是安全漏洞、配置錯誤或 Snowflake 自身系統受損。目前，公司一直在持續調查中，已經及時通知了可能受到影響的少數客戶。

SOCRadar 在分析結果中指出，在與被入侵的 Snowflake 賬戶相關聯的竊取日志中檢測到 500 多個演示環境實例。與此同時，澳大利亞網絡安全中心（Australian Cyber Security Center）宣布，它了解到幾家使用 Snowflake 環境的公司被威脅攻擊者成功入侵了。

安全研究員 Kevin Beaumont 表示，就算 Snowflake 公司聲稱自己不是數據泄露事件的受害者，但威脅攻擊者的說法和 Snowflake 公司的公告都表明了事實情況可能并非如此。Snowflake 的一名員工的賬戶沒有得到妥善保護，該員工感染了信息竊取程序。

此外，根據 Beaumont 的說法，數據泄漏事件背后的威脅攻擊者是一群 “在 Telegram 上公開活躍了一段時間 ”的青少年，他們依靠信息竊取者竊取的客戶憑據訪問 Snowflake 數據庫。同時，SOCRadar 也指出，威脅攻擊者于 5 月 23 日首次出現在一個暗網論壇上，當時他們使用 “Whitewarlock ”的化名吹噓桑坦德集團的漏洞，并索要 200 萬美元的數據。

最后，安全專家建議 Snowflake 客戶禁用不再活躍的賬戶，確保啟用了 MFA，重置活躍賬戶的憑據，并應用云存儲提供商提供的緩解建議。

參考文章：https://www.securityweek.com/snowflake-hack-impacts-ticketmaster-other-organizations/