Ticketmaster’ın ana şirketi Live Nation, bilgisayar korsanlarının 560 milyon müşterinin kişisel bilgilerini çaldığını iddia etmesinin ardından veritabanında “izinsiz etkinlik” olduğunu doğruladı. Ticketmaster veri ihlalinin açığa çıkması, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yapılan bir başvuruyla geldi; burada Live Nation, bir suç aktörünün şirket kullanıcı verileri olduğu iddia edilen verileri karanlık ağda satışa sunduğunu açıkladı.
Live Nation, ABD SEC’e sunduğu bir başvuruda, 27 Mayıs’ta “bir suç tehdidi aktörünün, Şirket kullanıcı verileri olduğu iddia edilen verileri karanlık ağ üzerinden satışa sunduğunu” ve soruşturmanın sürdüğünü söyledi.
Şirket, Ticketmaster Veri İhlalini Hafifletiyor
Şirket ayrıca, başvuruda kullanıcılarına ve Şirkete yönelik riskleri azaltmak için çalıştıklarını, kolluk kuvvetlerine bildirimde bulunduklarını ve işbirliği yaptıklarını bildirdi. Doldurmada “Uygun olduğu şekilde, kişisel bilgilere izinsiz erişim konusunda düzenleyici makamları ve kullanıcıları da bilgilendiriyoruz” deniyor.
Ticketmaster veri ihlali ilk olarak 20 Mayıs 2024’te tespit edildi. Bu, Live Nation’ın, esasen yan kuruluşu olan Ticketmaster LLC’ye ait verileri barındıran bir üçüncü taraf bulut veritabanı ortamında yetkisiz etkinlik tespit ettiği zamandır.
Bunu öğrendikten sonra Live Nation, veri ihlalinin kapsamını ve niteliğini belirlemek için adli tıp müfettişleriyle birlikte derhal bir soruşturma başlattı. Başvuruya göre şirket, hem kullanıcılarına hem de genel operasyonlarına yönelik riskleri azaltmak için özenle çalışıyor.
Şirket, başvuruda, bu başvurunun yapıldığı tarih itibarıyla olayın genel ticari faaliyetlerimiz veya mali durumumuz veya faaliyet sonuçlarımız üzerinde önemli bir etkisi olmadığını ve böyle bir etki yaratma ihtimalinin makul olduğuna inanmadığımızı belirtti. . Live Nations Yetkilileri dolguda “Riskleri değerlendirmeye devam ediyoruz ve iyileştirme çabalarımız devam ediyor” dedi.
Kar Tanesi Resme Geliyor
Daha da ilginci, Ticketmaster’ın bir sözcüsünün TechCrunch’a çalınan veritabanının Boston merkezli bir bulut depolama ve analiz şirketi olan Snowflake’te barındırıldığını söylemesi. Cyber Express daha önce bir tehdit aktörünün Ticketmaster ve Santander Bank’ın veri ihlallerinin sorumluluğunu üstlendiğini ve Snowflake’te bir çalışan hesabını hackledikten sonra verileri çaldıklarını iddia ettiğini bildirmişti.
Ancak o dönemde Snowflake, ihlalleri müşteri hesaplarındaki yetersiz kimlik bilgileri hijyenine bağlayarak bu veri ihlali iddialarını reddetti.
Ancak şimdi veri ihlalinin ışığında Snowflake ve üçüncü taraf siber güvenlik uzmanları CrowdStrike ve Mandiant, bazı Snowflake müşteri hesaplarına yönelik hedefli bir tehdit kampanyasını içeren devam eden soruşturmalarıyla ilgili ortak bir açıklama yaptı.
Snowflake bir gönderisinde, “bazı müşterilerimizin hesaplarını hedef alan” saldırılardan “etkilenmiş olabileceğine inandığımız sınırlı sayıda müşteriyi” bilgilendirdiğini söyledi. Ancak Snowflake, siber saldırıların niteliğini veya müşteri hesaplarından veri çalınıp çalınmadığını açıklamadı.
“Bunun, müşteri verilerini elde etmek amacıyla sektör çapında devam eden, kimlik tabanlı saldırıların sonucu olduğuna inanıyoruz. Araştırmalar, bu tür saldırıların, müşterilerimizin ilgisiz siber tehdit faaliyetleri yoluyla açığa çıkan kullanıcı kimlik bilgileriyle gerçekleştirildiğini gösteriyor. Şu ana kadar bu etkinliğin Snowflake ürünü içindeki herhangi bir güvenlik açığından, yanlış yapılandırmadan veya kötü amaçlı etkinlikten kaynaklandığına inanmıyoruz” diye yazıyor Snowflakes bataklığı.
Snowflake’in Temel Bulgularından Bazıları Soruşturma
- Etkinliğin bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklandığını gösteren hiçbir kanıt yok.
- Mevcut veya eski Snowflake personelinin kimlik bilgilerinin tehlikeye girdiğine işaret eden hiçbir kanıt yok.
- Kampanyanın tek faktörlü kimlik doğrulamaya sahip kullanıcıları hedeflediği görülüyor.
- Tehdit aktörleri, kötü amaçlı yazılımların bilgi hırsızlığı yoluyla elde edilen kimlik bilgilerinden yararlandı.
- Bir tehdit aktörü, eski bir Snowflake çalışanının hassas veriler içermeyen ve Snowflake’in üretim veya kurumsal sistemlerine bağlı olmayan demo hesaplarına erişti. Hesaplar Çok Faktörlü Kimlik Doğrulama (MFA) tarafından korunmuyordu.
Bulguların yanı sıra, etkilenen kuruluşun atması gereken bazı adımları da önerdiler:
Gelişmiş Güvenlik İçin Öneriler
- Tüm hesaplarda Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılın.
- Yalnızca yetkili kullanıcılara veya güvenilir konumlardan (ör. VPN, Bulut iş yükü NAT) erişime izin vermek için Ağ İlkesi Kurallarını ayarlayın.
- Etkilenen kuruluşlar için Snowflake kimlik bilgilerini sıfırlayın ve döndürün.
Ticketmaster’ın altyapısı da dahil olmak üzere Live Nation’ın altyapısı öncelikle Amazon Web Services’te (AWS) barındırılıyor. Her ne kadar AWS ihlal hakkında yorum yapmamış olsa da, onların katılımından bahseden bir müşteri vaka çalışması yakın zamanda Amazon’un web sitesinden kaldırıldı.
Bundan önce Avustralyalı yetkililer, İçişleri Bakanlığı, Ticketmaster müşterilerini etkileyen bir siber olayı araştırdıklarını ve bakanlıktan bir sözcü “olayın anlaşılması için Ticketmaster ile birlikte çalıştıklarını” duyurdu.