Bl0ckch41nnewsBrecha masiva en Snowflake afectó a Banco Santander y TicketMaster, entre otros

[ad_1]

Live Nation ha confirmado que Ticketmaster sufrió una violación de datos
después de que sus datos fueran robados de un proveedor externo de bases de
datos en la nube, que
se cree que es Snowflake.

Snowflake, para aquellos que no lo saben, es una plataforma de datos de
inteligencia artificial en la que se introducen grandes cantidades de datos y
se utilizan. Este es un evento que potencialmente podría poner fin a su
negocio.

«El 20 de mayo de 2024, Live Nation Entertainment, Inc. identificó
actividad no autorizada dentro de un entorno de base de datos en la nube de
terceros que contenía datos de la Compañía (principalmente de su subsidiaria
Ticketmaster LLC) e inició una investigación con investigadores forenses
líderes en la industria para comprender lo que sucedió»
,
compartió Live Nation
en una presentación ante la SEC el viernes por la noche.

«El 27 de mayo de 2024, un actor de amenazas criminales ofreció a la venta
lo que supuestamente eran datos de usuarios de la empresa a través de la web
oscura».

Si bien la infracción supuestamente expuso los datos de más de 560 millones de
usuarios de Ticketmaster, la compañía afirma que no cree que la infracción
tenga un impacto material en las operaciones comerciales generales o su
situación financiera. Esta se produce después de que un
actor de amenazas conocido como Shiny Hunters
intentara vender los datos de Ticketmaster en un foro de piratería por 500.000
dólares.

Las bases de datos supuestamente robadas supuestamente contienen 1,3 TB de
datos, incluidos los detalles completos de los clientes (es decir, nombres,
direcciones particulares y de correo electrónico, y números de teléfono), así
como información sobre ventas de entradas, pedidos y eventos de 560 millones
de clientes.

Además,
según DoublePulse, se están produciendo incidentes en muchas otras empresas que son clientes
de Snowflake de las que se han tomado bases de datos completas. Personas de
múltiples industrias confirman que sufrieron una importante filtración de
datos en mayo a través de Snowflake.

Snowflake dice que las violaciones recientes fueron causadas por
cuentas de clientes mal protegidas
cuyas credenciales fueron robadas y no tenían habilitada la autenticación
multifactor.

En una conversación con el actor de amenazas, ShinyHunters le dijo a
BleepingComputer que había compradores interesados ​​en los datos. Creían que
uno de los compradores que se les acercó era el propio Ticketmaster. Sin
embargo, hoy se reveló más información sobre cómo los actores de amenazas
obtuvieron acceso a la base de datos de Ticketmaster y posiblemente a los
datos de muchos otros clientes.

Alon Gal de Hudson Rock habló con uno de los actores de amenazas detrás del
ataque, quien afirmó ser responsable de las recientes violaciones de datos de
Santander
y
Ticketmaster
y dijo que robaron los datos de la empresa de almacenamiento en la nube
Snowflakerobaron los datos de la empresa de almacenamiento en la nube Snowflake.

Actualmente no se sabe cómo se robó la información de las dos empresas, que son clientes de Snowflake. ShinyHunters, la persona que se atribuyó la responsabilidad de las infracciones gemelas en el ahora resucitado BreachForums, dijo a DataBreaches.net que la explicación de Hudson Rock era incorrecta y que es «desinformación». Por este motivo la empresa eliminó el post original.

Según el actor de amenazas, utilizaron credenciales robadas mediante malware
de robo de información para violar la cuenta ServiceNow de un empleado de
Snowflake, que utilizaron para exfiltrar información de la empresa. Esta
información incluía tokens de autenticación vigentes que podrían usarse para
crear tokens de sesión y acceder a cuentas de clientes para descargar datos.

Según la empresa de ciberseguridad Hudson Rock, el autor de la amenaza afirma que también obtuvo acceso a datos de otras
empresas de alto perfil que utilizan los servicios de almacenamiento en la
nube de Snowflake, como Anheuser-Busch, State Farm, Mitsubishi, Progressive,
Neiman Marcus, Allstate y Advance Auto Parts.

La compañía agregó que los ataques comenzaron a mediados de abril y que los
datos de los clientes fueron robados por primera vez el 23 de mayo.
Snowflake ha compartido los IOC
de los ataques para que los clientes puedan consultar los registros para
determinar si fueron violados.

Al revisar los datos encontrados en el archivo CSV, los investigadores de
Hudson Rock identificaron a un empleado de Snowflake que fue infectado por un
Infostealer tipo Lumma el 5 de octubre de 2023. Junto con otras credenciales
confidenciales para la infraestructura de Snowflake, los datos de inicio de
sesión de este empleado («adelou») a un servidor específico
(sfseeurope-demo_adelou.snowflakecomputing[.]com) también se vieron
comprometidos.

El autor de la amenaza afirma que quería extorsionar a Snowflake para que le
recomprara los datos robados por 20 millones de dólares, pero la empresa no
respondió a sus intentos de extorsión.

Caso Banco Santander

Según
datos de la empresa Cronup,
un empleado de Snowflake fue infectado por el Infostealer Lumma.
Las credenciales sensibles del empleado, incluyendo detalles de inicio de
sesión en servidores específicos de Snowflake, fueron comprometidas.

Lumma es un MaaS que apareció en agosto de 2022
y desde esa fecha se encuentra disponible para la venta en foros clandestinos
y hasta en Telegram, con precios que oscilan entre los 250 hasta los 20.000
dólares. Todo depende del nivel que se requiera: el más alto brinda a los
compradores acceso al código fuente y les permite vender el malware ellos
mismos.

la filial chilena de Banco Santander reportó a Comisión para el Mercado
Financiero (CMF) el incidente, el cual, según indicó la comunicación bancaria,
tuvo origen en España y afectó a una base de datos alojada en un proveedor
externo.

Según el actor de amenaza, los datos puestos a la venta incluyen:30 millones
de datos de clientes.

  • 64 millones de datos de cuentas y saldos.
  • 28 millones de tarjetas de crédito.
  • Listas de empleados de Recursos Humanos.

El precio de esta información se ha fijado en 30 bitcoins, aproximadamente 2
millones de dólares estadounidenses.

Caso Ticketmaster

Al igual que el caso bancario, la venta de información de Ticketmaster se puso
a la venta inicialmente el 26 de mayo. Según el actor de amenaza, el volumen
de los datos ascendía a 1,3 TB de información.

La información
extraída contenía:

  • 560 millones de datos usuarios con nombre, dirección, email y teléfono.
  • Información de tickets, eventos y ordenes de compra
  • Datos de tarjetas de crédito y otros.

Fuente:
BC
|
Cronup
|
DoublePulsar

[ad_2]

Source link

Los comentarios están cerrados.