Ticketmaster, bilgisayar korsanlarının milyonlarca kişinin verilerini içeren şirketin Snowflake veritabanını çalmasının ardından veri ihlalinden etkilenen müşterileri bilgilendirmeye başladı.
Maine Başsavcılığı Ofisi ile paylaşılan bir veri ihlali bildiriminde, “Ticketmaster yakın zamanda yetkisiz bir üçüncü tarafın, üçüncü taraf bir veri hizmetleri sağlayıcısı tarafından barındırılan bir bulut veritabanından bilgi elde ettiğini keşfetti” ifadeleri yer aldı.
“Soruşturmamıza dayanarak, yetkisiz etkinliğin 2 Nisan 2024 ile 18 Mayıs 2024 arasında gerçekleştiğini tespit ettik. 23 Mayıs 2024’te, kişisel bilgilerinizden bazılarının olaydan etkilenmiş olabileceğini tespit ettik. Soruşturmamıza başladığımızdan beri bulut veritabanında herhangi bir ek yetkisiz etkinlik görmedik.”
Ticketmaster, ihlalin müşterilerin adlarını, temel iletişim bilgilerini ve “
Şirket, müşterilerinin kimlik hırsızlığı ve dolandırıcılığa karşı “dikkatli olmalarını” tavsiye ediyor ve kredi geçmişlerini takip etmek için bir yıllık ücretsiz kimlik izleme olanağı sunuyor.
Ticketmaster, ihlalin yalnızca “>1000” kişiyi etkilediğini tembelce söylese de, aslında dünya çapında milyonlarca müşteriyi etkiledi ve birçok kişinin çok daha hassas olarak değerlendireceği bilgileri ifşa etti.
Ticketmaster’ın Snowflake veri hırsızlığı saldırısı
Geçtiğimiz ay ShinyHunters adlı bir tehdit grubu, Live Nation/Ticketmaster’dan çaldığı verileri satmaya başladı ve bunların 560 milyon kullanıcının kişisel bilgileri ve kredi kartı bilgilerini içerdiğini iddia etti.
Tehdit aktörleri, Snowflake hesaplarındaki verileri çalmak için çok faktörlü kimlik doğrulamanın etkin olmadığı, güvenliği ihlal edilmiş Ticketmaster kimlik bilgilerini kullandı.
Snowflake, kuruluş tarafından veritabanlarını depolamak, verileri işlemek ve analitik gerçekleştirmek için kullanılan bulut tabanlı bir veri depolama şirketidir.
ShinyHunters, verileri 28 Mayıs’ta tanınmış bir hack forumunda 500.000 dolara satmaya başladı. Tehdit aktörü, verinin 1,3 TB boyutunda olduğunu ve 560 milyon müşteriye ait bilgiler, bilet satışları, etkinlik bilgileri, müşteri sahtekarlığı ve kısmi kredi kartı bilgileri içerdiğini iddia etti.
BleepingComputer tarafından görülen veri örnekleri, tam adlar, e-posta adresleri, telefon numaraları, adresler, karma kredi kartı bilgileri ve ödeme tutarları da dahil olmak üzere “temel iletişim bilgilerinden” fazlasını içeriyordu.
Günlerce sessiz kaldıktan sonra Ticketmaster, 31 Mayıs Cuma akşamı SEC’e yaptığı başvuruda ihlali doğruladı ve ihlalin şirketleri üzerinde önemli bir etkisi olacağına inanmadıklarını belirtti.
Ticketmaster’daki ihlal, Snowflake veritabanı platformuyla bağlantılı son zamanlarda gerçekleşen çok sayıda veri hırsızlığı saldırısından biri.
SnowFlake, Mandiant ve CrowdStrike tarafından yapılan ortak araştırma, UNC5537 olarak takip edilen bir tehdit aktörünün, hesaplarında çok faktörlü kimlik doğrulama koruması yapılandırmamış en az 165 kuruluşu hedef almak için ele geçirilen müşteri kimlik bilgilerini kullandığını ortaya çıkardı.
Tehdit aktörü, Snowflake hesaplarına sızmak için 2020’ye kadar uzanan bilgi çalan kötü amaçlı yazılım enfeksiyonları tarafından çalınan kimlik bilgilerini kullandı.
Bu saldırılarla bağlantılı son ihlaller arasında Neiman Marcus, Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified ve Pure Storage yer alıyor.