Live Nation, Ticketmaster’ın verilerinin Snowflake olduğuna inanılan üçüncü taraf bir bulut veritabanı sağlayıcısından çalınmasının ardından bir veri ihlaline maruz kaldığını doğruladı.
“20 Mayıs 2024 tarihinde, Live Nation Entertainment, Inc. (“Şirket” veya “biz”), Şirket verilerini içeren bir üçüncü taraf bulut veritabanı ortamında (özellikle Ticketmaster LLC yan kuruluşundan) yetkisiz faaliyet tespit etti ve Cuma gecesi SEC dosyasında Live Nation, “sektörün önde gelen adli tıp araştırmacılarının ne olduğunu anlaması gerekiyor” dedi.
“27 Mayıs 2024’te bir suç tehdidi aktörü, Şirket kullanıcı verileri olduğu iddia edilen verileri karanlık ağ üzerinden satışa sundu.”
“Kullanıcılarımıza ve Şirketimize yönelik riski azaltmak için çalışıyoruz ve kolluk kuvvetlerine bildirimde bulunduk ve onlarla işbirliği yapıyoruz. Uygun olduğu takdirde, kişisel bilgilere izinsiz erişim konusunda düzenleyici makamları ve kullanıcıları da bilgilendiriyoruz.”
İhlalin 560 milyondan fazla Ticketmaster kullanıcısının verilerini açığa çıkardığı iddia edilirken şirket, ihlalin genel ticari operasyonlar veya mali durumu üzerinde önemli bir etkisi olacağına inanmadıklarını belirtiyor.
Bu itiraf, Shiny Hunters olarak bilinen bir tehdit aktörünün Ticketmaster verilerini bir bilgisayar korsanlığı forumunda 500.000 dolara satmaya çalışmasının ardından geldi.
Çalındığı iddia edilen veritabanlarının, müşterilerin tüm ayrıntılarının (yani isimler, ev ve e-posta adresleri ve telefon numaraları) yanı sıra 560 milyon müşteriye yönelik bilet satışları, siparişleri ve etkinlik bilgileri de dahil olmak üzere 1,3 TB veri içerdiği iddia ediliyor.
Tehdit aktörüyle yaptığı görüşmede ShinyHunters, BleepingComputer’a verilerle ilgilenen alıcıların olduğunu söyledi. Kendilerine yaklaşan alıcılardan birinin bizzat Ticketmaster olduğuna inanıyorlardı.
Verileri nasıl çaldıkları sorulduğunda tehdit aktörü, “bu konuda hiçbir şey söyleyemeyeceklerini” söyledi.
Ancak bugün, tehdit aktörlerinin Ticketmaster veri tabanına ve muhtemelen birçok başka müşterinin verilerine nasıl erişim sağladığına dair daha fazla bilgi ortaya çıktı.
Hudson Rock’tan Alon Gal, saldırının arkasındaki tehdit aktörlerinden biriyle konuştu; bu aktör, son Santander ve Ticketmaster veri ihlallerinden kendilerinin sorumlu olduğunu iddia etti ve verileri bulut depolama şirketi Snowflake’ten çaldıklarını söyledi.
Tehdit aktörüne göre, bilgi çalan kötü amaçlı yazılım kullanılarak çalınan kimlik bilgilerini bir Snowflake çalışanının ServiceNow hesabına sızmak için kullandılar ve bu hesabı şirketten bilgi sızdırmak için kullandılar. Bu bilgiler, oturum belirteçleri oluşturmak ve verileri indirmek için müşteri hesaplarına erişmek için kullanılabilecek süresi dolmamış kimlik doğrulama belirteçlerini içeriyordu.
Tehdit aktörü, bu yöntemi Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate ve Advance Auto Parts gibi diğer şirketlerin verilerini çalmak için kullandıklarını iddia ediyor.
Progressive ve Mistubishi, BleepingComputer’a sistemleri veya verilerinin ihlal edildiğine dair herhangi bir belirti olmadığını söyleyerek tehdit aktörünün iddialarına karşı çıktı.
Snowflake, son zamanlardaki ihlallerin, kimlik bilgileri çalınan ve çok faktörlü kimlik doğrulamanın etkinleştirilmediği zayıf güvenlikli müşteri hesaplarından kaynaklandığını söylüyor.
Şirket, saldırıların nisan ortasında başladığını ve müşterilerin verilerinin ilk olarak 23 Mayıs’ta çalındığını ekledi. Snowflake, müşterilerin ihlal edilip edilmediğini belirlemek için günlükleri sorgulayabilmesi için saldırılara ait IOC’leri paylaştı.
Mandiant Consulting CTO’su Charles Carmakal, BleepingComputer’a, Mandiant’ın son birkaç haftadır ele geçirilen Snowflake müşterilerini araştırdığını ve Snowflake kiracılarının çalıntı kimlik bilgileri kullanılarak ihlal edildiğine inandığını söyledi.
Tehdit aktörünün bir çalışanın hesabını hackledikleri yönündeki iddialarını doğrulamak için Snowflake ile iletişime geçtiğimizde itiraz etmek yerine paylaşacak başka bir şeyleri olmadığını söylediler.
Bu gelişmekte olan bir hikaye.