Geçtiğimiz hafta, ShinyHunters olarak bilinen hack-and-sızdırma çetesi, veri olduğu iddia edilen verileri yarım milyardan fazla kişiye aktardı. Ticketmaster müşterileri BreachForums yer altı pazarında satışa sunuluyor. İddianın geçerliliği hakkında medyada günlerce süren raporlar ve spekülasyonlar sonrasında, Ticketmaster’ın ana şirketi Live Nation artık ihlalin gerçek olduğunu kabul etti. Ancak birkaç ayrıntıyı daha doğruladı.
Geçen Cuma, Live Nation bir veri ihlali açıklamasında bulundu fark etme ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile 20 Mayıs’ta “şirket verilerini içeren üçüncü taraf bir bulut veritabanı ortamında izinsiz faaliyet” gerçekleştiğini ve “bir suç tehdidi aktörünün şirket kullanıcı verileri olduğunu iddia ettiği verileri sunduğunu” belirtti. 27 Mayıs’ta Dark Web üzerinden satışa sunulacak.
Ancak olay devi, akıllara durgunluk veren kayıt sayısını (560 milyon) doğrulamadı. Parlak Avcılar Sahip olduğu iddia edildi ve soygunun ne tür veriler içerdiğine ilişkin ayrıntılar açıklanmadı. BreachForums listesinde tehdit aktörleri; isimler, e-postalar, adresler ve kısmi ödeme kartı ayrıntıları gibi kişisel olarak tanımlanabilir bilgilere (PII) sahip olduklarını iddia etti.
Bununla birlikte, SEC başvurusunun gönüllü olduğu görülüyor ve şunu belirtiyor: LiveNation ihlalin “önemli” olmasını beklemiyor yani ileriye dönük mali profili üzerinde etkili olacaktır. Bu, olaydan çok az sonuç beklediğini gösteriyor ve yer altı listelerindeki iddiaları yalanlıyor.
Ticketmaster, Dark Reading’in yorum talebine yanıt vermedi.
Üçüncü Taraf Bulut Veritabanı Güvenliği Eksik
İlgili üçüncü taraf bulut veritabanına gelince, tehdit istihbaratı topluluğunun üyeleri Dark Reading’e gönderdikleri e-postalarda bunun Snowflake olduğunu belirlediler ve kendi beyanını yayınlayarak aralarında Ticketmaster’ın da bulunduğu bazı müşterilerine yönelik siber aktivite olduğunu kabul etti. Ama gönderme topluluk forumunda hangi müşterilerin etkilendiğine dair isim belirtilmedi ve şirket, yorum talebine hemen yanıt vermedi.
Snowflake, saldırıların zayıf müşteri yapılandırması nedeniyle başarılı olduğunu belirtti: “Bu, tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik hedefli bir kampanya gibi görünüyor; bu kampanyanın bir parçası olarak tehdit aktörleri, daha önce satın alınan veya alınan kimlik bilgileri kötü amaçlı yazılımların bilgi hırsızlığı yoluyla.”
Genel olarak, ihlalin kesin ayrıntıları, kimin ve nasıl etkilendiği, Snowflake ile ilgili olayın ana hatları ve bunlardan hangisinin gerçekleştiği konusunda çok az onay var. müşteriler etkilenebilir. Ticketmaster’ın ötesinde, yüksek profilli Snowflake hesapları arasında AT&T, jetBlue, Mastercard ve Yakın zamanda kendi veri ihlalini bildiren Santander isimsiz bir üçüncü taraf sağlayıcının dahil olduğu (etkilenen hesabın Snowflake olduğu doğrulanmadı).
NCC Group’un küresel tehdit istihbaratı başkanı Matt Hull, ShinyHunters’ın hangi rolü oynadığının bile belirsiz olduğunu söyledi.
E-postayla gönderdiği bir açıklamada, “Rus siber suç forumunda bir gönderi, ShinyHunters’ın BreachForums’ta Ticketmaster/Live Nation verilerinin satışıyla ilgili gönderisinden bir gün önce yapıldı” dedi. “İki liste arasındaki dikkate değer fark, Rus forumundaki gönderinin bir garantör gerektirmesi, oysa ShinyHunters’ın Breach Forumlarındaki gönderisinin garantör gerektirmemesidir. ShinyHunters’ın orijinal listeleme verilerinin satışı için bir vekil/aracı olarak hareket etmesi mümkündür. saldırganlar.”
İhlalle ilgili ek ayrıntıların ne zaman ortaya çıkacağı belli değil, ancak şimdilik Live Nation, SEC dosyasında standart bir ifade kullandı: “Kullanıcılarımız ve şirketimiz için riski azaltmak için çalışıyoruz ve kolluk kuvvetlerine bildirimde bulunduk ve onlarla işbirliği yapıyoruz. Uygun şekilde, kişisel bilgilere izinsiz erişim konusunda düzenleyici makamları ve kullanıcıları da bilgilendiriyoruz.”