Live Nation ha confirmado que Ticketmaster sufrió una violación de datos después de que sus datos fueran robados de un proveedor externo de bases de datos en la nube, que se cree que es Snowflake.
Snowflake, para aquellos que no lo saben, es una plataforma de datos de inteligencia artificial en la que se introducen grandes cantidades de datos y se utilizan. Este es un evento que potencialmente podría poner fin a su negocio.
«El 20 de mayo de 2024, Live Nation Entertainment, Inc. identificó actividad no autorizada dentro de un entorno de base de datos en la nube de terceros que contenía datos de la Compañía (principalmente de su subsidiaria Ticketmaster LLC) e inició una investigación con investigadores forenses líderes en la industria para comprender lo que sucedió», compartió Live Nation en una presentación ante la SEC el viernes por la noche.
«El 27 de mayo de 2024, un actor de amenazas criminales ofreció a la venta lo que supuestamente eran datos de usuarios de la empresa a través de la web oscura».
Si bien la infracción supuestamente expuso los datos de más de 560 millones de usuarios de Ticketmaster, la compañía afirma que no cree que la infracción tenga un impacto material en las operaciones comerciales generales o su situación financiera. Esta se produce después de que un actor de amenazas conocido como Shiny Hunters intentara vender los datos de Ticketmaster en un foro de piratería por 500.000 dólares.
Las bases de datos supuestamente robadas supuestamente contienen 1,3 TB de datos, incluidos los detalles completos de los clientes (es decir, nombres, direcciones particulares y de correo electrónico, y números de teléfono), así como información sobre ventas de entradas, pedidos y eventos de 560 millones de clientes.
Además, según DoublePulse, se están produciendo incidentes en muchas otras empresas que son clientes de Snowflake de las que se han tomado bases de datos completas. Personas de múltiples industrias confirman que sufrieron una importante filtración de datos en mayo a través de Snowflake.
Snowflake dice que las violaciones recientes fueron causadas por cuentas de clientes mal protegidas cuyas credenciales fueron robadas y no tenían habilitada la autenticación multifactor.
En una conversación con el actor de amenazas, ShinyHunters le dijo a BleepingComputer que había compradores interesados en los datos. Creían que uno de los compradores que se les acercó era el propio Ticketmaster. Sin embargo, hoy se reveló más información sobre cómo los actores de amenazas obtuvieron acceso a la base de datos de Ticketmaster y posiblemente a los datos de muchos otros clientes.
Alon Gal de Hudson Rock habló con uno de los actores de amenazas detrás del ataque, quien afirmó ser responsable de las recientes violaciones de datos de Santander y Ticketmaster y dijo que robaron los datos de la empresa de almacenamiento en la nube Snowflakerobaron los datos de la empresa de almacenamiento en la nube Snowflake.
Actualmente no se sabe cómo se robó la información de las dos empresas, que son clientes de Snowflake. ShinyHunters, la persona que se atribuyó la responsabilidad de las infracciones gemelas en el ahora resucitado BreachForums, dijo a DataBreaches.net que la explicación de Hudson Rock era incorrecta y que es «desinformación». Por este motivo la empresa eliminó el post original.
Según el actor de amenazas, utilizaron credenciales robadas mediante malware de robo de información para violar la cuenta ServiceNow de un empleado de Snowflake, que utilizaron para exfiltrar información de la empresa. Esta información incluía tokens de autenticación vigentes que podrían usarse para crear tokens de sesión y acceder a cuentas de clientes para descargar datos.
Según la empresa de ciberseguridad Hudson Rock, el autor de la amenaza afirma que también obtuvo acceso a datos de otras empresas de alto perfil que utilizan los servicios de almacenamiento en la nube de Snowflake, como Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate y Advance Auto Parts.
La compañía agregó que los ataques comenzaron a mediados de abril y que los datos de los clientes fueron robados por primera vez el 23 de mayo. Snowflake ha compartido los IOC de los ataques para que los clientes puedan consultar los registros para determinar si fueron violados.
Al revisar los datos encontrados en el archivo CSV, los investigadores de Hudson Rock identificaron a un empleado de Snowflake que fue infectado por un Infostealer tipo Lumma el 5 de octubre de 2023. Junto con otras credenciales confidenciales para la infraestructura de Snowflake, los datos de inicio de sesión de este empleado («adelou») a un servidor específico (sfseeurope-demo_adelou.snowflakecomputing[.]com) también se vieron comprometidos.
El autor de la amenaza afirma que quería extorsionar a Snowflake para que le recomprara los datos robados por 20 millones de dólares, pero la empresa no respondió a sus intentos de extorsión.
Caso Banco Santander
Según datos de la empresa Cronup, un empleado de Snowflake fue infectado por el Infostealer Lumma. Las credenciales sensibles del empleado, incluyendo detalles de inicio de sesión en servidores específicos de Snowflake, fueron comprometidas.
Lumma es un MaaS que apareció en agosto de 2022 y desde esa fecha se encuentra disponible para la venta en foros clandestinos y hasta en Telegram, con precios que oscilan entre los 250 hasta los 20.000 dólares. Todo depende del nivel que se requiera: el más alto brinda a los compradores acceso al código fuente y les permite vender el malware ellos mismos.
La filial chilena de Banco Santander reportó a Comisión para el Mercado Financiero (CMF) el incidente, el cual, según indicó la comunicación bancaria, tuvo origen en España y afectó a una base de datos alojada en un proveedor externo.
Según el actor de amenaza, los datos puestos a la venta incluyen:30 millones de datos de clientes.
- 64 millones de datos de cuentas y saldos.
- 28 millones de tarjetas de crédito.
- Listas de empleados de Recursos Humanos.
El precio de esta información se ha fijado en 30 bitcoins, aproximadamente 2 millones de dólares estadounidenses.
Caso Ticketmaster
Al igual que el caso bancario, la venta de información de Ticketmaster se puso a la venta inicialmente el 26 de mayo. Según el actor de amenaza, el volumen de los datos ascendía a 1,3 TB de información.
La información extraída contenía:
- 560 millones de datos usuarios con nombre, dirección, email y teléfono.
- Información de tickets, eventos y ordenes de compra
- Datos de tarjetas de crédito y otros.
Fuente y redacción: segu-info.com.ar