Live Nation Entertainment ha confermato il data breach della sussidiaria Ticketmaster. Nel documento inviato alla SEC (Securities and Exchange Commission) degli Stati Uniti è scritto che il 20 maggio è stato effettuato l’accesso non autorizzato ad un ambiente cloud di terze parti. Secondo gli esperti di Hudson Rock si tratta del provider statunitense Snowflake.
Rubate le credenziali di un dipendente
Nel documento di Live Nation è scritto che i dati sono stati messi in vendita sul dark web. In realtà, il database con i dati di 560 milioni di utenti è stato offerto a 500.000 dollari sul forum BreachForums, tornato online dopo il sequestro di alcuni domini da parte delle forze dell’ordine e accessibile tramite registrazione.
Live Nation non ha fornito dettagli sull’intrusione. Gli esperti di Hudson Rock hanno scoperto i dati sono stati rubati dai server di Snowflake, un provider di cloud storage. Usando un infostealer, i cybercriminali hanno ottenuto le credenziali di login dell’account di un dipendente, sul quale non era stata attivata l’autenticazione multi-fattore.
Sfruttando token di autenticazione ancora validi sono stati generati token di sessione che hanno permesso l’accesso agli account di Snowflake. L’azienda statunitense ha confermato l’intrusione attraverso l’account demo di un ex dipendente.
Il gruppo ShinyHunters, amministratore di BreachForums, ha ottenuto l’accesso ad altri account di Snowflake. Tramite uno di essi sono stati sottratti i dati di 30 milioni di clienti della banca Santander (in vendita a 2 milioni di dollari). Quest’ultima aveva confermato l’accesso al database a metà maggio.
Il servizio di Snowflake viene utilizzato da oltre 9.400 aziende nel mondo, tra cui Adobe, HP, Micron, Mastercard, AT&T e PepsiCo. Quasi certamente i cybercriminali metteranno in vendita altri dati o chiederanno una somma di denaro direttamente alle aziende a scopo estorsivo.
Aggiornamento (30/06/2024): Ticketmaster ha avvisato gli utenti che l’intrusione è avvenuta tra il 2 aprile e il 18 maggio. L’azienda specifica che sono state sottratte alcune informazioni da un database di un provider cloud di terze parti.