ملخص
- يشير نموذج 8-K لشركة Live Nation الصادر في 31 مايو 2024 إلى أنها حددت نشاطًا غير مصرح به في قاعدة بيانات سحابية تابعة لجهة خارجية تحتوي بشكل أساسي على بيانات من Ticketmaster، وأن جهة خبيثة عرضت للبيع على الويب المظلم ما تدعي أنه بيانات مستخدمين للشركة.
- أبلغ إشعار Ticketmaster للعملاء أن الحادث أثر على معلومات شخصية مثل الاسم وتفاصيل الاتصال الأساسية ومعلومات بطاقة الدفع مثل أرقام بطاقات الائتمان أو الخصم المشفرة وتواريخ انتهاء الصلاحية لبعض العملاء، بينما أوضحت الشركة أن قاعدة البيانات المعنية كانت مستضافة من قبل مزود سحابي تابع لجهة خارجية.
- الملف العام لحملة Snowflake مركزي ولكنه محدود. أفادت Mandiant أن كل حادث في هذه الحملة تعاملت معه مباشرة كان مرتبطًا ببيانات اعتماد عميل مخترقة، ولم تجد أي دليل على أن الوصول غير المصرح به جاء من اختراق للبيئة المؤسسية لـ Snowflake.
- تحكمت Live Nation وTicketmaster في بيانات التذاكر التي تدخل قاعدة البيانات السحابية، والهويات وعمليات التكامل التي يمكنها الوصول إليها، وكيفية تشفير أو ترميز حقول الدفع، وكيفية إبلاغ العملاء، وما هي تحذيرات الاحتيال الصادرة. تحكم مزود السحابة في ميزات أمان المنصة والسجلات والإعدادات الافتراضية والإشارات على مستوى الحملة.
- لم يتمكن العملاء من منع الاختراق. لم يتمكنوا من الرد إلا بعد الإخطار من خلال مراقبة حساباتهم وتغيير كلمات المرور المعاد استخدامها والحذر من التصيد ومعالجة الاتصالات المتعلقة بالأحداث بمزيد من التشكك.
أظهر التقديم الرسمي الحادث كنشاط سحابي لجهة خارجية
نموذج 8-K لشركة Live Nation المؤرخ في 31 مايو 2024 هو الوثيقة العامة المرجعية للأسواق. يشير إلى أنه في 20 مايو 2024، حددت Live Nation نشاطًا غير مصرح به في قاعدة بيانات سحابية تابعة لجهة خارجية تحتوي على بيانات الشركة، ومعظمها من شركتها التابعة Ticketmaster. ويضيف أن جهة خبيثة عرضت للبيع على الويب المظلم ما تدعي أنه بيانات مستخدمين للشركة. أعلنت Live Nation أنها بدأت تحقيقًا واتخذت إجراءات للتخفيف من المخاطر وأبلغت سلطات إنفاذ القانون وتتعاون مع السلطات. وأشارت الشركة إلى أنه حتى تاريخ التقديم، لم يكن للحادث تأثير جوهري على أعمالها الإجمالية أو وضعها المالي، ومن غير المرجح أن يكون له تأثير.
هذا التقديم قام بثلاثة أمور مهمة. أكد أن الحادث وقع في بيئة قاعدة بيانات سحابية تابعة لجهة خارجية. ربط البيانات المتأثرة بشكل أساسي بـ Ticketmaster. كما فصل الأهمية النسبية للمستثمرين عن حساسية العملاء. يمكن أن يكون اختراق بيانات التذاكر غير مهم ماليًا لشركة ترفيه كبيرة بينما يكون مهمًا للعملاء، لأن البيانات تربط الهوية وتاريخ الشراء وحضور الأحداث والوصول إلى الحساب وفرص الاحتيال.
إشعار حادثة أمان البيانات من Ticketmaster أعطى العملاء إطارًا أضيق للضرر. وأشار إلى أن الشركة قررت أن طرفًا ثالثًا غير مصرح له حصل على معلومات من قاعدة بيانات سحابية مستضافة من قبل مزود خدمة بيانات تابع لجهة خارجية. وصف الإشعار معلومات شخصية قد تشمل الاسم وتفاصيل الاتصال الأساسية ومعلومات بطاقة الدفع مثل أرقام بطاقات الائتمان أو الخصم المشفرة وتواريخ انتهاء الصلاحية لبعض العملاء. كما ذكر أن Ticketmaster اتخذت إجراءات لتعزيز الأمان وعرضت مراقبة الهوية أو دعمًا ذي صلة حيثما كان مطلوبًا.
يجب قراءة هذين المصدرين الرسميين معًا. يشير التقديم إلى هيئة الأوراق المالية إلى إطار سيطرة الشركة. ويشير إشعار العملاء إلى فئات البيانات وإجراءات العملاء. لا يقدم أي من المصدرين حسابًا جنائيًا كاملاً يشير إلى بيانات الاعتماد أو الحسابات أو أعباء العمل أو عمليات التكامل أو الأدوار أو نطاقات IP أو أنماط الاستعلام التي مكنت الوصول. هذا الغياب ليس غير معتاد. لكنه يظل الدليل المفقود المركزي.
تقرير بي بي سي عن اختراق Ticketmaster يصف حجم البيانات المزعومة وقلق الجمهور حول الاختراق. يمكن أن تساعد التقارير الثانوية القراء في فهم التأثير العام، لكنها لا ينبغي أن تحل محل تقديمات الشركة وإشعارات العملاء الخاصة بها للحقائق الرسمية. الاستنتاج المسؤول هو أن Live Nation أكدت وجود نشاط غير مصرح به وادعاء بيع من قبل جهة خبيثة؛ أكدت Ticketmaster فئات بيانات العملاء؛ آليات الاستخراج الدقيقة لا تزال خارج الملف العام.
بيانات التذاكر أكثر حساسية من مجرد قائمة بريدية تجارية
قد تبدو سجلات التذاكر عادية عند اختصارها إلى تفاصيل الاتصال وحقول بطاقة الدفع المشفرة. لكن منصات التذاكر قريبة من الهوية وحركة الحشود وسلوك المعجبين ومجتمعات الفنانين والأماكن والسفر والدخل المتاح. يمكن لقاعدة البيانات التي تربط العميل بمشتريات الأحداث أن تمكن من التصيد المقنع للغاية: إشعارات استرداد مزيفة، تحذيرات إعادة بيع، مبيعات مسبقة للجولات، تحديثات سياسة المكان، عروض مواقف السيارات، رسائل التحقق من الحساب، أو إعادة التحقق من صحة بطاقة الدفع.
لا تقتصر الحساسية على السرقة المالية. يمكن أن يكشف حضور الأحداث عن الدين أو السياسة أو النشاط الجنسي أو النشاط النقابي أو الاهتمامات الصحية أو حب المشاهير أو أنشطة الأطفال أو خطط السفر أو الموقع في وقت معين. الشخص الذي اشترى تذاكر لحفلة موسيقية أو تجمع أو مباراة رياضية أو عرض كوميدي أو مهرجان أو حدث عائلي قد لا يعتبر هذه البيانات حساسة حتى يتم استخدامها لاستهدافه. المنصة التي تبيع الوصول إلى الثقافة تخزن أيضًا دليلاً على الخيارات الثقافية للأشخاص.
وضع إشعار Ticketmaster حدًا مهمًا للدفع: أرقام بطاقات الائتمان أو الخصم المشفرة وتواريخ انتهاء الصلاحية كانت من بين الفئات المحتملة لبعض العملاء. كلمة "مشفرة" مهمة. هذا يعني أن الجمهور لا ينبغي أن يفترض أن أرقام البطاقات بنص واضح قد تم كشفها. لكن بيانات الدفع المشفرة ليست إجابة كاملة إذا كان العملاء لا يعرفون ما الذي تم تشفيره، وتحت أي نظام لإدارة المفاتيح، وما إذا كانت الأسماء وعناوين الفوترة وتواريخ انتهاء الصلاحية موجودة أيضًا، وما إذا كان يمكن إساءة استخدام رمز أو مرجع دفع. الإشعار لا يوفر هذا المستوى من التفاصيل.
تشكل قواعد بطاقات الدفع سياقًا ذا صلة حتى عندما لا يدعي أحد كشف البطاقات بنص واضح. توثق مكتبة مستندات مجلس معايير أمان PCI الرسمية بيئة الامتثال حول بيانات حامل البطاقة والتشفير والترميز والتسجيل والتخزين. لا يمكن للامتثال إثبات الأمان في الحادث المحدد، لكنه يشرح لماذا يتم التعامل مع حقول البطاقات المشفرة بشكل مختلف عن بيانات الاتصال العادية.
يقدم دليل الاستجابة لاختراق البيانات من FTC معيارًا عامًا آخر. يؤكد على أهمية تأمين العمليات وإصلاح الثغرات وإبلاغ الأطراف المعنية والتواصل بوضوح مع الأشخاص المتأثرين. يتوافق إشعار Ticketmaster مع النمط العام لاتصالات اختراق البيانات للمستهلكين. سؤال المسؤولية هو ما إذا كانت الضوابط الأساسية للبيانات السحابية والهويات قد تم إصلاحها قبل أن يُطلب من العملاء تحمل مخاطر الاحتيال.
ملف حملة Snowflake مهم ولكن يجب تحديده
تمت مناقشة حادثة Ticketmaster على نطاق واسع في سياق حملة سرقة بيانات عملاء Snowflake لعام 2024. تقرير Mandiant حول سرقة بيانات Snowflake وابتزازها (UNC5537) هو المرتكز الفني العام الأكثر فائدة. أشارت Mandiant إلى أن الجهة الخبيثة استهدفت مثيلات عملاء Snowflake لسرقة البيانات والابتزاز، وأن كل حادث تعاملت معه Mandiant مباشرة كان مرتبطًا ببيانات اعتماد عميل مخترقة، ولم تجد أي دليل على أن الوصول غير المصرح به نتج عن اختراق للبيئة المؤسسية لـ Snowflake.
طلب إشعار المعلومات الإضافية من Snowflake من العملاء فحص المؤشرات ومراقبة الحسابات وتعزيز بيئاتهم، مع الإشارة إلى أن النشاط لم يكن ناتجًا عن ثغرة أو تكوين خاطئ أو اختراق لمنصة Snowflake. قامت CISA بتضخيم توصيات Snowflake في تنبيهها الصادر في 3 يونيو 2024. أصدر المركز الكندي للأمن السيبراني تنبيهه الخاص حول الوصول غير المصرح به لحسابات عملاء Snowflake، باستخدام تأطير مماثل قائم على الهوية.
يضع هذا الملف العام حدًا حذرًا. ليس من الدقيق، بناءً على الأدلة المتاحة، وصف الحملة الأوسع بأنها اختراق للبيئة المؤسسية المركزية لـ Snowflake. كما أنه ليس كافيًا القول بأن العملاء وحدهم هم المسؤولون والتوقف عند هذا الحد. كانت البيانات موجودة على منصة مزود بميزات مصادقة وأسطح تسجيل وخيارات سياسة شبكة وسلوك جلسة وإشارات وضع أمان يتحكم فيها المزود. قد تكون بيانات اعتماد العميل هي وضع الفشل الأولي في الحالات التي تم التعامل معها، لكن تصميم المزود يحدد مدى صعوبة الحفاظ على وضع ضعيف لبيانات الاعتماد ومدى وضوح إساءة الاستخدام عبر العملاء.
بالنسبة لـ Ticketmaster، السؤال الرئيسي هو أي طرف يتحكم في أي طبقة. إذا كانت البيانات موجودة في بيئة عميل Snowflake، فإن Live Nation أو Ticketmaster تتحكم في البيانات التي تم تحميلها، وكيفية نمذجتها، والمستخدمين أو حسابات الخدمة التي لديها حق الوصول، وما إذا كانت المصادقة متعددة العوامل (MFA) مطلوبة، وما إذا كانت سياسات الشبكة تقيد الوصول، والأدوار التي يمكن أن تصدر، وأي مراقبة تربط سجلات المستودع بالاستجابة للحوادث. تتحكم Snowflake في قدرات المنصة وإرشادات العملاء ووضع الهوية الافتراضي والسجلات والرؤية على مستوى الحملة. يتحكم المهاجمون في السرقة والابتزاز.
لا ينبغي للجمهور اختزال هذه الطبقات إلى شعار واحد. يمكن أن تصبح "المسؤولية المشتركة" عذرًا عندما لا يشير أحد إلى من كان لديه أي رافعة عملية. في هذه الحالة، لم يكن لدى العملاء أي من الروافع التي كانت ستمنع الحادث. كان الطرفان التشغيليان المعنيان هما شركة التذاكر ومزود المنصة السحابية، كل منهما على مستوى مختلف من السيطرة.
OAuth وكلمات المرور وحسابات المستودع هي أبواب مختلفة لنفس المخاطر
أشار ملف حملة Snowflake إلى بيانات اعتماد عميل مخترقة. لم يحدد إشعار Ticketmaster العام ما إذا كانت بيانات الاعتماد هي اسم مستخدم وكلمة مرور بشريين، أو حساب خدمة، أو تكامل تابع لجهة خارجية، أو رمز مميز، أو مفتاح API، أو بيانات مقاول، أو طريقة وصول أخرى. هذا مهم لأن كل مسار وصول يستلزم إصلاحًا مختلفًا.
إذا تم استخدام حساب بشري، فإن الأسئلة هي ما إذا كانت المصادقة متعددة العوامل مطلوبة، وما إذا كان المستخدم لديه امتيازات زائدة، وما إذا كان الاتصال من موقع غير عادي، وما إذا كان خارق المعلومات قد التقط بيانات الاعتماد، وما إذا كان ينبغي تعطيل الحساب أو تدوير بيانات الاعتماد الخاصة به. إذا تم استخدام حساب خدمة، فإن الأسئلة هي ما إذا كانت كلمات المرور طويلة الأجل مسموح بها، وما إذا كانت هوية عبء العمل متاحة، وما إذا كان الحساب لديه وصول زائد، وما إذا تم اكتشاف حجم تصدير غير طبيعي.
إذا تم استخدام تكامل تابع لجهة خارجية، فإن الأسئلة هي ما إذا كانت النطاقات ضيقة، وما إذا كانت الرموز المميزة يتم تدويرها، وما إذا كان التكامل يمكنه الوصول إلى حقول تتجاوز غرضه.
توثق وثائق النشر الحالية للمصادقة متعددة العوامل من Snowflake الانتقال إلى عمليات تسجيل الدخول بدون كلمة مرور للمستخدمين البشريين. تصف سياسات المصادقة الخاصة بها ضوابط طرق المصادقة والعملاء والمصادقة متعددة العوامل. تشرح وثائق سياسات الشبكة لديها قوائم السماح والحظر لنطاقات عناوين IP الخاصة بالعملاء. لا ينبغي قراءة هذه الوثائق الحالية بأثر رجعي كدليل على التكوين الدقيق لـ Ticketmaster في عام 2024. إنها ذات صلة لأنها تحدد فئات الضوابط التي كانت مهمة.
تختلف حسابات المستودع عن حسابات التطبيقات العادية لأنها يمكنها الاستعلام عن مجموعات كبيرة من البيانات وتصديرها بسرعة. قد يعرض تطبيق خدمة العملاء حسابًا واحدًا في كل مرة. يمكن لمستودع البيانات عرض جدول كامل، أو استخراج تاريخي، أو مجموعة بيانات على مستوى الحدث إذا كان الدور واسعًا بما يكفي. لذلك، لا يخضع نصف قطر التأثير لأمان الاتصال فحسب، بل أيضًا لتصميم الأدوار وفصل الجداول والإخفاء وقواعد التصدير واكتشاف الحالات الشاذة.
تصف وثائق Snowflake حول LOGIN_HISTORY وQUERY_HISTORY وACCESS_HISTORY فئات الأدلة التي يمكن للعملاء استخدامها لإعادة بناء الوصول. في تحقيق ناضج، يجب أن تجيب هذه السجلات على من قام بتسجيل الدخول ومن أين وبأي دور وأي استعلامات أو صادرات تم تنفيذها وأي كائنات تم الوصول إليها ومتى. التقديم العام والإشعار لا يقدمان هذه الإجابات. هذا لا يعني أن الإجابات غير موجودة. هذا يعني أن المسؤولية العامة تظل جزئية.
مسألة تقليل البيانات لا تقل أهمية عن الاتصال
تعتبر بيانات الاعتماد المسروقة مهمة بسبب ما يمكنها الوصول إليه. بالنسبة لـ Ticketmaster، السؤال الأول للتقليل هو ما هي بيانات العملاء التي كانت بحاجة إلى التواجد في قاعدة البيانات السحابية التابعة لجهة خارجية في وقت الوصول. السؤال الثاني هو الشكل الذي كانت عليه. السؤال الثالث هو ما إذا كانت نفس البيانات يمكن أن تدعم التحليل أو كشف الاحتيال أو التسويق أو العمليات أو خدمة العملاء بشكل أقل عرضة للخطر أو أقل ارتباطًا.
لدى شركات التذاكر أسباب مشروعة لتحليل بيانات العملاء. تحتاج إلى معالجة الطلبات وإدارة الأحداث ودعم المبالغ المستردة ومكافحة الاحتيال وتحسين عمليات الأماكن وتخصيص المخزون وكشف الروبوتات ودعم الفنانين والمروجين والامتثال للالتزامات القانونية. لكن الاستخدام المشروع ليس هو نفسه الاحتفاظ بالبيانات الأولية إلى أجل غير مسمى. يجب ربط الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف والعناوين وتاريخ الطلبات وبيانات الدفع بهدف واضح وفترة احتفاظ ودور وصول وقاعدة إخفاء.
تشفير بطاقات الدفع هو شكل من أشكال التقليل، لكنه ليس الإجابة الكاملة. إذا كانت أرقام البطاقات وتواريخ انتهاء الصلاحية المشفرة موجودة جنبًا إلى جنب مع الأسماء وعناوين البريد الإلكتروني والعناوين وتاريخ الأحداث، فلا يزال بإمكان المجرم صياغة رسائل احتيال مقنعة. إذا لم يتمكن المهاجم من استخدام رقم البطاقة مباشرة، فيمكنه استخدام سياق الحدث لخداع العميل لإدخال بطاقة جديدة على صفحة مزيفة. ينتقل الضرر من اختراق الدفع المباشر إلى الهندسة الاجتماعية التي تسهلها إساءة استخدام البيانات.
هذا هو المكان الذي تهم فيه خصوصية الحدث. رسالة تصيد تقول "يجب إعادة التحقق من صحة بطاقتك للبيع المسبق للجولة الصيفية" تكون أكثر مصداقية إذا هبطت في صندوق بريد شخص تم كشف علاقته بالتذاكر. تحذير إعادة بيع مزيف يكون أكثر مصداقية لشخص استخدم السوق. إشعار استرداد مزيف يكون أكثر مصداقية بعد حدث ملغي. بيانات التذاكر هي نص احتيال.
نصح إشعار Ticketmaster العملاء بالبقاء يقظين ضد انتحال الهوية والاحتيال، ومراقبة كشوف الحسابات وتقارير الائتمان. هذه النصيحة معقولة. كما تنقل عملاً كبيرًا من المراقبة إلى العملاء الذين لم يتحكموا في مستودع البيانات. برنامج تقليل أفضل يقلل من المعلومات التي يمكن أن تجعل هذه المحاولات الاحتيالية قابلة للتصديق قبل حدوث الاختراق.
يستمر المقال مع أقسام أخرى حول مسؤولية المنصة، والحاجة إلى تفاصيل على مستوى المجال، واختبارات المسؤولية الستة. الترجمة الكاملة متاحة في المحتوى الأصلي.

