5min Security

Ticketmaster meldt inbraak in cloud-database bij Amerikaanse beurswaakhond SEC

Ticketmaster meldt inbraak in cloud-database bij Amerikaanse beurswaakhond SEC

Update 01/06/2024 – Live Nation, het bedrijf achter Ticketmaster, heeft bij de Amerikaanse Securities and Exchange Commission (SEC) melding gemaakt van een inbraak op zijn systemen. Een aanvalsgroep zou op 20 mei toegang hebben verkregen tot een clouddatabase van Ticketmaster waarin bedrijfsgegevens zijn opgeslagen. Het bedrijf begon daarop naar eigen zeggen een onderzoek in samenwerking met externe experts. Ticketmaster en Live Nation hebben verder niet gereageerd in de media.

In de melding aan beurswaakhond SEC vermeldt Live Nation dat een week na de ongeoorloofde activiteit, op 27 mei, een criminele actor via het dark web gebruikersgegevens van het bedrijf te koop aanbood. Dat betreft vermoedelijk de 560 miljoen gegevens van Ticketmaster-klanten die ShinyHunters voor 500.000 dollar van de hand wilde doen.

Live Nation zegt in de verklaring er alles aan te doen om de risico’s voor gebruikers en het bedrijf te beperken en samen te werken met justitie. Verder zegt het bedrijf dat het incident ‘geen materiële invloed heeft gehad’ op de bedrijfsvoering of de financiële situatie.

Snowflake: geen kwetsbaarheid aan onze kant

De Amerikaanse cybersecurityspecialist Hudson Rock claimde aanvankelijk dat de gestolen gegevens uit een clouddatabase van Snowflake zouden zijn gestolen. Het bedrijf kwam tot die bewering nadat het met een aanvaller zou hebben gesproken. Niet alleen bij Ticketmaster, maar ook bij de Spaanse bank Santander en mogelijk vele andere klanten zou data zijn buitgemaakt. Santander heeft de datadiefstal inmiddels openbaar gemaakt.

In reactie op Hudson Rock maakte Snowflake duidelijk dat het bedrijf geen bewijs heeft gevonden dat de malafide actie is veroorzaakt door een kwetsbaarheid, verkeerde configuratie of inbreuk op het platform van Snowflake. Cybersecurity-experts van CrowdStrike en Mandiant onderschrijven deze voorlopige conclusie, aldus Snowflake.

Volgens Snowflake lijkt het te gaan om een specifieke campagne, gericht op gebruikers met single-factor authenticatie. Malafide partijen zouden gebruik hebben gemaakt van gestolen of gecompromitteerde inloggegevens van klanten.

Het bedrijf zegt verder dat kwaadwillenden wél toegang hebben verkregen tot een demo-acccount van een voormalige Snowflake-werknemer. Deze bevatte volgens Snowflake geen gevoelige gegevens en was niet verbonden met de productie- of bedrijfssystemen van Snowflake. De toegang was mogelijk omdat het account zich niet achter Okta of MFA bevond, in tegenstelling tot de productiesystemen van Snowflake. Met deze verklaring lijkt het bedrijf te willen zeggen dat het gekraakte demo-account in elk geval niet de oorzaak kan zijn van de Ticketmaster-diefstal.

De blogpost waarin Hudson Rock de bewering deed, is inmiddels verwijderd, maar is hier op archief terug te vinden.

Update 30/05/2024 door Berry Zwets – De gegevens van 560 miljoen Ticketmaster-gebruikers lijken te zijn bemachtigd via AWS-instances. In april had een niet-gedefinieerde groep toegang tot de instances.

Dat beweert vx-underground, een platform met veel kennis over de cybercrimewereld. De website sprak met meerdere betrokkenen en concludeert dat ShinyHunters niet verantwoordelijk is voor de uitvoering van de aanval. Dit in tegenstelling tot de eerste berichtgeving. ShinyHunters zou als persoon of groep wel achter de veiling van de data zitten. Vx-underground omschrijft ShinyHunters daarom als een proxy voor de Threat Group die daadwerkelijk achter het compromitteren van de gegevens zit.

‘Grote zekerheid dat data legitiem is’

Daarnaast bemachtigde vx-underground een sample waarna het met grote zekerheid kan stellen dat de data legitiem is. De gegevens gaan terug tot 2011. Vx-underground bevestigt dat het om de volgende data van Ticketmaster-gebruikers gaat: volledige naam, e-mailadres, adres, telefoonnummer, creditcardnummer (gehasht), creditcardtype en -authenticatietype, en alle financiële transacties. Van de financiële informatie heeft vx-underground de informatie nog niet kunnen verifiëren.

Origineel 29/05/2024 – Een persoon of groep bekend onder de naam ShinyHunters heeft naar eigen zeggen de gegevens van 560 miljoen klanten van Ticketmaster buitgemaakt. De meer dan 1,3 terabyte aan gestolen data zou onder meer namen en adressen bevatten, naast telefoon- en bestelgegevens en gedeeltelijke creditcardinformatie. De data staat voor 500.000 dollar (462.000 euro) te koop op Breach Forums.

Bij de gedeeltelijke creditcard-data gaat het onder meer om de namen van kaarteigenaren, de laatste vier cijfers van de kaartnummers, de verloopdatum en in sommige gevallen blijkbaar of met de kaart zelf ooit is geprobeerd fraude te plegen.

De personen wiens gegevens zijn gestolen door ShinyHunters lopen nu het risico op identiteitsdiefstal, fraudepogingen en oplichterspraktijken. Volgens de website Hackread heeft ShinyHunters deze site laten weten dat ze in contact proberen te komen met Ticketmaster. Het bedrijf zou nog niet hebben gereageerd. De data verscheen op 28 mei op Breach Forums, een online platform dat door ShinyHunters zelf in de lucht wordt gehouden.

Omdat veel gebruikers van Ticketmaster zich in Austalie bevinden, werkt het bedrijf samen met het ministerie van binnenlandse zaken van het land, meldt de Australische zender ABC.

Specialist in datadiefstal

ShinyHunters is berucht vanwege grootschalige datadiefstal in het verleden. In 2022 lekte het de gegevens van 70 miljoen klanten van de Amerikaanse telecomprovider AT&T. In datzelfde jaar hackte het ook het Indonesische e-commercebedrijf Tokopedia. Eerder wist het grote hoeveelheden klantdata buit te maken van Microsoft, foto-app Pixlr en mannenkledingzaak Bonobos. Ook maakte het de gegevens buit van 40 miljoen gebruikers van Wishbone, een app waar gebruikers hun voorkeur kunnen uitspreken voor telkens twee vergelijkbare producten.

Saillant detail is dat Breach Forums, dat een aanwezigheid heeft op zowel het ‘gewone’ internet als het dark web, onlangs in beslag is genomen door de Amerikaanse nationale politiedienst FBI maar toch plots weer opdook. De ‘seizure’ gebeurde in samenwerking met andere opsporingsautoriteiten elders in de wereld. De hackers hebben hun domein blijkbaar weer weten te ontfutselen aan de lange arm der wet, vermoedelijk door een verzoek aan de domain registrar in Hong Kong. Het zou overigens ook kunnen gaan om een lokkertje, meldt The Hacker News.

De naam van de groep verwijst naar de populaire Pokémon-games. Daarin zijn ‘shiny’ Pokémon het meest zeldzaam en gewild. Zoals spelers van dat spel deze virtuele beestjes verzamelen, zo verzamelt ShinyHunters klant- en gebruikersdata, zal het idee achter de naam zijn.

Lees ook: Addcomm onderhandelt met cybercriminelen over niet-publiceren klantgegevens