5min Security

Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in

Insight: Security Platforms

Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in

Ticketmaster, Santander en Advance Auto Parts zijn vermoedelijk door dezelfde hacker beroofd van klantengegevens. Het is op dit punt bijna onvermijdelijk om te stellen de aanvallen gelinkt zijn aan elkaar. De aanvaller zou dus een ingang hebben gevonden via een third-party. De aanwijzingen doen geloven dat Snowflake de betrokken third-party zou zijn.

Een hacker kon via een zelfontwikkelde tool inbreken op de online zones van Snowflake die niet beschermd worden met 2FA. Dat is gebleken uit een onderzoek van Mitiga, een aanbieder van cloudsecurity-oplossingen. In die online zones zit niet de minste informatie, zo is het mogelijk inloggegevens en databases in te kijken van klanten van Snowflake. Die inloggegevens misbruikte de hacker (UNC5537) vervolgens om gewoon in te loggen in de beschermde omgevingen van Snowflake-klanten.

Via deze weg zijn klantgegevens van Ticketmaster, Santander en Advance Auto Parts gestolen. Het aantal gedupeerden loopt via deze drie bedrijven al op tot 970 miljoen. De grootste getroffen partijen zijn Ticketmaster met 560 miljoen getroffen klanten en Advance Auto Parts met 380 miljoen gedupeerden. Het gaat om gevoelige gegevens, waaronder creditcard-data, informatie over werknemers en loyaliteitskaartennummers.

Zeer waarschijnlijk dat er nog slachtoffers vallen

Verder is het nog niet zeker van welke Snowflake-klanten de hacker nog inloggegevens kon bemachtigen. Gezien het klantenbestand van Snowflake oploopt tot meer dan 9.000 klanten, zou het niet verrassend zijn als nog niet alle slachtoffers bekend zijn. Mitiga weet wel het volgende: “UNC5537 heeft organisaties rechtstreeks afgeperst en hen verder onder druk gezet door gestolen gegevens publiekelijk te koop te zetten op hackerforums.” Rondom Ticketmaster is bekend dat er pogingen zijn geweest om contact te leggen, maar dat het bedrijf niet reageerde.

Bovendien zijn de hacks al gaande vanaf april. Dat kwam verder in het onderzoek van Mitiga naar boven, net als alarmerende informatie over de omvang van de gebeurtenissen: “Het werd al snel duidelijk dat de kwestie veel omvangrijker was dan aanvankelijk werd gedacht, dat er meerdere organisaties bij betrokken waren en de aandacht trok van wetshandhavingsinstanties.”

Het in kaart brengen van de omvang van het hack is moeilijk. Dat komt doordat de gehackte partijen op zeer verschillende momenten melding maken van de incidenten. De melding van Santander rolde bijvoorbeeld als eerste binnen op 14 mei. Daarna was het een tijdje stil tot Ticketmaster een incident meldde op 29 mei. Het meest recente slachtoffer, Advance Auto Parts, kon een week later, op 6 juni, pas worden toegevoegd. Ongeveer iedere anderhalve week komt er zo dus een nieuw incident aan het licht.

Geen brute inbraken

Het moge duidelijk zijn dat de gevolgen van het security-incident groot zijn en hoogstwaarschijnlijk zelfs nog niet eens allemaal bekend. Op security-vlak brengt het incident wel een grotere trend in kaart. Zo is het steeds vaker dat cybercriminelen niet meer hoeven in te breken, maar via traditionele inlogmethoden binnentreden in de belangrijke online data-opslagplaatsen van bedrijven.

Bedrijven kunnen zich tegen die trend beschermen door wachtwoorden op meerdere lagen te beveiligen, met behulp van MFA. Hoewel deze security-oplossing overigens niet honderd procent veilig is tegen phishing-pogingen, zorgt het wel dat hackers extra stappen moeten ondernemen alvorens binnenbreken mogelijk is. IP-restricties, die controleren op locatie voordat inloggen mogelijk is, zijn een andere mogelijkheid. Mitiga raadde deze zaken al aan in interne communicatie naar klanten, net als het installeren van brute force-detectie. Dergelijke tools identificeren verdachte activiteiten waarin inlogpogingen vanaf hetzelfde IP-adres elkaar snel opvolgen.

Eigenlijk zouden allen onderdeel moeten zijn van een degelijke cloud-security. Vaak legt een cloud-aanbieder ook via een overeenkomst een deel van de verantwoordelijkheid bij de afnemer. Deze moet dus zorgen dat identity-security in orde is en MFA geïnstalleerd werd. Daarover kan wel nog gesteld worden dat de cloud-aanbieder toch strenger optreedt tegen bedrijven die het nalaten deze security-zaken te installeren. Al wordt de haalbaarheid daarvan in vraag gesteld door Patrick Tiquet, vicepresident security bij Keeper Security, bij Dark Reading: “Elke organisatie heeft unieke beveiligingsvereisten en -voorkeuren, en uniforme beveiligingsmaatregelen kunnen de flexibiliteit en het maatwerk beperken dat klanten van clouddiensten verwachten.”

Snowflake spreekt aanwijzingen tegen

Snowflake gooit overigens in de tussentijd alle communicatie op slot. Het bedrijf wacht voor duidelijke communicatie een intern onderzoek af. Het geeft wel mee dat er verdachte activiteiten in de afgelopen weken werden ontdekt en dat enkele van zijn klanten daar last van kunnen ondervinden.

Volgens het bedrijf is Snowflake verder niet specifiek geviseerd door hackers, maar gaat het om een ‘gerichte campagne gericht op gebruikers met single-factor authenticatie.’ Het incident bij Snowflake beschrijft het bedrijf verder als een losstaand geval dat niet veel gevolgen zal hebben. Zo geeft het bedrijf aan dat een hacker toegang zou hebben verkregen tot een demo-acccount van een voormalige Snowflake-werknemer. Deze bevatte volgens Snowflake geen gevoelige gegevens en was niet verbonden met de productie- of bedrijfssystemen van Snowflake. 

De blog kwam er als antwoord op een claim van Amerikaanse cybersecurity-aanbieder Hudson Rock die ook aanwijzingen had voor de betrokkenheid van Snowflake. Het ging om een harde claim dat er gegevens gestolen zouden zijn uit een clouddatabase van Snowflake. Ondertussen is de bewuste blog met claim offline gehaald.

In de meest recente aanval op Advance Auto Parts komen er echter opnieuw aanwijzingen naar boven over de betrokkenheid van Snowflake. Zo zou de aanval mogelijk zijn geweest via een Snowflake cloudstorage-account. Het laatste woord over de betrokkenheid van het datacloudbedrijf is dus nog niet gevallen.

Verantwoordelijkheid van de slachtoffers

Ticketmaster en Santander blijven hoe dan ook zelf verantwoordelijk voor het nalaten van een goede identity-security op poten te zetten. Dit risico schuift een cloudaanbieder door aan de klant. Bij wie het ontbreekt, vormt een makkelijk slachtoffer voor hackers die steeds vaker gewoonweg inloggen op bedrijfsomgevingen door inloggegevens bij een third-party te stelen.

Lees ook: Hugging Face ontdekt verdachte inbreuk in zijn Spaces-platform