In attesa di conoscere i dettagli da Live Nation Entertainment, Snowflake ha smentito gli esperti di Hudson Rock, affermando che non c’è stata nessun intrusione non autorizzata nei suoi sistemi. Il provider cloud ritiene che il furto dei dati di 560 milioni di utenti di Ticketmaster sia stato effettuato con credenziali ottenute in altro modo.
Ancora nessuna informazione chiara
Al momento l’unica certezza è il data breach subito da Ticketmaster. Non sono chiare invece le modalità. Gli esperti di Hudson Rock hanno scoperto che l’accesso ai server di Snowflake è stato effettuato con le credenziali di un dipendente. Dopo aver trovato token di autenticazione non scaduti sono stati generati token di sessione per accedere agli account dei clienti.
In base ai risultati dell’indagine, ancora in corso con l’aiuto di Mandiant e CrowdStrike, il provider cloud statunitense ha comunicato che il furto dei dati non è stato effettuato sfruttando vulnerabilità, errate configurazioni o violazione della piattaforma. Non ci sono prove che il furto sia dovuto a credenziali compromesse di attuali o vecchi dipendenti.
Secondo Snowflake, i cybercriminali hanno acquistato o ottenuto le credenziali personali degli utenti attraverso un attacco con infostealer. Tali credenziali hanno permesso di accedere ad un account demo (non protetto dall’autenticazione multi-fattore) che non è connesso ai sistemi corporate o di produzione e non contiene dati sensibili.
Hudson Rock ha comunicato che tutte le informazioni sull’accaduto sono state rimosse dal sito, dopo aver ricevuto una richiesta dal consulente legale di Snowflake. Live Nation ha confermato il data breach, ma senza fornire ulteriori dettagli.