Grote lekken van data bij Ticketmaster en Santander Bank vorige maand kunnen beide het gevolg zijn van een fundamenteel falen van de bedrijven om de toegang tot de gegevens op een cloudopslagdienst van derden goed te beveiligen.
De incidenten maken nog eens duidelijk waarom organisaties die gevoelige gegevens in de cloud opslaan multifactor-authenticatie (MFA), IP-beperkingen en andere mechanismen moeten implementeren. Dit om de toegang daartoe te beschermen. Dit lijkt misschien laaghangend fruit. Maar het is duidelijk dat zelfs volwassen IT-bedrijven de beveiliging van de cloud nog steeds over het hoofd zien. Dit in de haast naar digitale transformatie. Dat schrijft DarkReading.
Enorme inbreuken
Ticketmaster-moederbedrijf Live Nation Entertainment meldde dat bedrijf het slachtoffer is van een inbreuk op 20 mei. Er was een incident bij een database die een externe cloudopslagprovider beheert . De onthulling van het bedrijf op 31 mei kwam nadat bleek dat gegevens van ongeveer 550 miljoen Ticketmaster-klanten die te koop werden aangeboden op een Dark Web-forum door ‘ShinyHunters’. Dit is een entiteit die vermoedelijk verband houdt met de leksite van BreachForums.
Santander Bank maakte op 14 mei een soortgelijke inbreuk bekend. In een verklaring destijds zei de Spaanse bankinstelling dat iemand ongeoorloofde toegang had verkregen tot een database die werd gehost door een externe aanbieder van clouddiensten en die werknemers- en klantgegevens bevatte.
‘ShinyHunters’ heeft ook de eer geclaimd voor de diefstal in Santander. Het zegt dat de database waartoe het toegang had, gegevens bevat over zo’n 30 miljoen Santander-klanten. Naast 28 miljoen creditcardnummers, rekeningsaldi, HR-werknemerslijsten en andere gegevens. De bedreigingsacteur heeft de gegevens te koop aangeboden voor $ 2 miljoen.
Zowel Ticketmaster als Santander hebben de identiteit van de clouddienst van derden niet bekendgemaakt. Maar talloze beveiligingsanalisten hebben de aanbieder geïdentificeerd als Snowflake, een aanbieder van cloudopslag die bedrijven als MasterCard, Honeywell, Disney, Albertsons, JetBlue en andere grote merken tot zijn klanten rekent.
Gebrek aan bescherming
Uit de gegevens die Santader meldde, blijkt dat sprake was van een bredere “campagne gericht op gebruikers met single-factor authenticatie”, aldus Snowflake. “Als onderdeel van deze campagne hebben schadelijke actoren gebruik gemaakt van inloggegevens die eerder zijn gekocht of overgenomen via het stelen van malware”, en gebruikten ze deze om toegang te krijgen tot klantaccounts, aldus de leverancier van cloudopslag.
Op basis van de tot nu toe beschikbare informatie lijken de data-lekken via het Snowflake-platform niet het gevolg te zijn van een fout van de cloudleverancier. Het lijkt er eerder op dat de slachtofferorganisaties er niet in zijn geslaagd de basislijnen voor cloudbeveiliging en -configuratie te volgen.
Doelwit
De data-inbreuken op Ticketmaster en Santander laten zien dat organisaties zich bewust moeten zijn van de potentiële risico’s als ze op hun eigen beveiligingsmaatregelen vertrouwen. Ze moeten erkennen dat zwakke of ontbrekende authenticatiemechanismen een belangrijk doelwit zijn voor hackers. Dit, om ongeoorloofde toegang te verkrijgen.