Site Overlay

Ticketmaster confirma violação massiva após dados roubados para venda on-line


Ticketmaster

A Reside Nation confirmou que a Ticketmaster sofreu uma violação de dados depois que seus dados foram roubados de um provedor de banco de dados em nuvem terceirizado, que se acredita ser o Snowflake.

“Em 20 de maio de 2024, a Reside Nation Leisure, Inc. (a” Empresa “ou” nós “) identificou atividades não autorizadas em um ambiente de banco de dados em nuvem de terceiros contendo dados da Empresa (principalmente de sua subsidiária Ticketmaster LLC) e iniciou uma investigação com investigadores forenses líderes do setor para entender o que aconteceu”, compartilhou a Reside Nation em um arquivo da SEC na noite de sexta-feira.

“Em 27 de maio de 2024, um ator de ameaça criminosa ofereceu o que alegadamente eram dados de usuários da empresa para venda através da darkish net.”

“Estamos trabalhando para mitigar o risco para nossos usuários e para a Empresa, e notificamos e cooperamos com as autoridades policiais. Conforme apropriado, também estamos notificando as autoridades reguladoras e os usuários com relação ao acesso não autorizado a informações pessoais.”

Embora a violação tenha supostamente expôs os dados de mais de 560 milhões de usuários da Ticketmastera empresa afirma não acreditar que a violação terá um impacto materials nas operações comerciais gerais ou na sua situação financeira.

Esta admissão ocorre depois que um agente de ameaça conhecido como Shiny Hunters tentou vender os dados do Ticketmaster em um fórum de hackers por US$ 500.000.

Os bancos de dados supostamente roubados contêm 1,3 TB de dados, incluindo detalhes completos dos clientes (ou seja, nomes, endereços residenciais e de e-mail e números de telefone), bem como vendas de ingressos, pedidos e informações de eventos de 560 milhões de clientes.

Dados da Ticketmaster à venda em um fórum de hackers
Dados da Ticketmaster à venda em um fórum de hackers
Fonte: BleepingComputer

Em conversa com o ator da ameaça, ShinyHunters disse ao BleepingComputer que havia compradores interessados ​​nos dados. Eles acreditavam que um dos compradores que os abordou period a própria Ticketmaster.

Quando questionados sobre como roubaram os dados, o autor da ameaça disse que “não pode dizer nada sobre isso”.

No entanto, hoje, mais informações foram reveladas sobre como os agentes da ameaça obtiveram acesso ao banco de dados da Ticketmaster e possivelmente aos dados de muitos outros clientes.

Alon Gal, da Hudson Rock, conversou com um dos responsáveis ​​pela ameaça por trás do ataque, que alegou ser o responsável pela recente Santander e Ticketmaster violações de dados e disseram que roubou os dados da empresa de armazenamento em nuvem Snowflake.

De acordo com o autor da ameaça, eles usaram credenciais roubadas por meio de malware de roubo de informações para violar a conta ServiceNow de um funcionário da Snowflake, que usaram para exfiltrar informações da empresa. Essas informações incluíam tokens de autenticação não expirados que poderiam ser usados ​​para criar tokens de sessão e acessar contas de clientes para baixar dados.

O ator da ameaça afirma que usou esse método para roubar dados de outras empresas, incluindo Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate e Advance Auto Components.

Progressive e Mistubishi contestaram as alegações do autor da ameaça, dizendo ao BleepingComputer que não há indicação de qualquer violação de seus sistemas ou dados.

Snowflake diz que as violações recentes foram causadas por contas de clientes mal protegidas, cujas credenciais foram roubadas e não tinham autenticação multifator habilitada.

A empresa acrescentou que os ataques começaram em meados de abril, com os dados dos clientes sendo roubados pela primeira vez em 23 de maio. COIs compartilhados dos ataques para que os clientes possam consultar os registros para determinar se eles foram violados.

O CTO da Mandiant Consulting, Charles Carmakal, disse ao BleepingComputer que a Mandiant tem investigado clientes Snowflake comprometidos nas últimas semanas e acredita que seus inquilinos Snowflake foram violados usando credenciais roubadas.

Quando contatamos a Snowflake para confirmar as alegações do autor da ameaça de que ele hackeou a conta de um funcionário, em vez de contestá-las, eles disseram que não tinham mais nada para compartilhar.

Esta é uma história em desenvolvimento.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

3 × três =