Brecha masiva en Snowflake afectó a Banco Santander y TicketMaster, entre otros

Live Nation ha confirmado que Ticketmaster sufrió una violación de datos
después de que sus datos fueran robados de un proveedor externo de bases de
datos en la nube, que se cree que es Snowflake.

“El 20 de mayo de 2024, Live Nation Entertainment, Inc. identificó
actividad no autorizada dentro de un entorno de base de datos en la nube de
terceros que contenía datos de la Compañía (principalmente de su subsidiaria
Ticketmaster LLC) e inició una investigación con investigadores forenses
líderes en la industria para comprender lo que sucedió”,
compartió Live Nation
en una presentación ante la SEC el viernes por la noche.

“El 27 de mayo de 2024, un actor de amenazas criminales ofreció a la venta
lo que supuestamente eran datos de usuarios de la empresa a través de la web
oscura”.

Si bien la infracción supuestamente expuso los datos de más de 560 millones de
usuarios de Ticketmaster, la compañía afirma que no cree que la infracción
tenga un impacto material en las operaciones comerciales generales o su
situación financiera.

Esta admisión se produce después de que un actor de amenazas conocido como Shiny Hunters intentara vender los datos de Ticketmaster en un foro de
piratería por 500.000 dólares.

Las bases de datos supuestamente robadas supuestamente contienen 1,3 TB de
datos, incluidos los detalles completos de los clientes (es decir, nombres,
direcciones particulares y de correo electrónico, y números de teléfono), así
como información sobre ventas de entradas, pedidos y eventos de 560 millones
de clientes.

Snowflake dice que las violaciones recientes fueron causadas por cuentas de
clientes mal protegidas cuyas credenciales fueron robadas y no tenían
habilitada la autenticación multifactor.

En una conversación con el actor de amenazas, ShinyHunters le dijo a
BleepingComputer que había compradores interesados ​​en los datos. Creían que
uno de los compradores que se les acercó era el propio Ticketmaster. Sin
embargo, hoy se reveló más información sobre cómo los actores de amenazas
obtuvieron acceso a la base de datos de Ticketmaster y posiblemente a los
datos de muchos otros clientes.

Alon Gal de Hudson Rock habló con uno de los actores de amenazas detrás del
ataque, quien afirmó ser responsable de las recientes violaciones de datos de
Santander
y
Ticketmaster
y dijo que robaron los datos de la empresa de almacenamiento en la nube
Snowflakerobaron los datos de la empresa de almacenamiento en la nube Snowflake.

Según el actor de amenazas, utilizaron credenciales robadas mediante malware
de robo de información para violar la cuenta ServiceNow de un empleado de
Snowflake, que utilizaron para exfiltrar información de la empresa. Esta
información incluía tokens de autenticación vigentes que podrían usarse para
crear tokens de sesión y acceder a cuentas de clientes para descargar datos.

Según la empresa de ciberseguridad Hudson RockSegún la empresa de ciberseguridad Hudson Rock, el autor de la amenaza afirma que también obtuvo acceso a datos de otras
empresas de alto perfil que utilizan los servicios de almacenamiento en la
nube de Snowflake, como Anheuser-Busch, State Farm, Mitsubishi, Progressive,
Neiman Marcus, Allstate y Advance Auto Parts.

La compañía agregó que los ataques comenzaron a mediados de abril y que los
datos de los clientes fueron robados por primera vez el 23 de mayo.
Snowflake ha compartido los IOC
de los ataques para que los clientes puedan consultar los registros para
determinar si fueron violados.

El autor de la amenaza afirma que quería extorsionar a Snowflake para que le
recomprara los datos robados por 20 millones de dólares, pero la empresa no
respondió a sus intentos de extorsión.

Caso Banco Santander

Según
datos de la empresa Cronup, un empleado de Snowflake fue infectado por el Infostealer Lumma. Las credenciales sensibles del empleado, incluyendo detalles de inicio de
sesión en servidores específicos de Snowflake, fueron comprometidas.

Lumma es un MaaS que apareció en agosto de 2022 y desde esa fecha se encuentra disponible para la venta en foros clandestinos y hasta en Telegram, con precios que oscilan entre los 250 hasta los 20.000 dólares. Todo depende del nivel que se requiera: el más alto brinda a los compradores acceso al código fuente y les permite vender el malware ellos mismos.

la filial chilena de Banco Santander reportó a Comisión para el Mercado
Financiero (CMF) el incidente, el cual, según indicó la comunicación bancaria,
tuvo origen en España y afectó a una base de datos alojada en un proveedor
externo.

Según el actor de amenaza, los datos puestos a la venta incluyen:30 millones
de datos de clientes.

64 millones de datos de cuentas y saldos.
28 millones de tarjetas de crédito.
Listas de empleados de Recursos Humanos.

El precio de esta información se ha fijado en 30 bitcoins, aproximadamente 2
millones de dólares estadounidenses.

Caso Ticketmaster

Al igual que el caso bancario, la venta de información de Ticketmaster se puso
a la venta inicialmente el 26 de mayo. Según el actor de amenaza, el volumen
de los datos ascendía a 1,3 TB de información.

La información
extraída contenía:

560 millones de datos usuarios con nombre, dirección, email y teléfono.

Información de tickets, eventos y ordenes de compra
Datos de tarjetas de crédito y otros.

Fuente:
BC
|
Cronup

Leave Your Comment