Home Sociedad Ticketmaster confirma la violación de la nube, en medio de detalles turbios

Ticketmaster confirma la violación de la nube, en medio de detalles turbios

La semana última, la red de piratería y filtración conocida como ShinyHunters puso a la venta lo que supuestamente eran datos de más de 500 millones de clientes de Ticketmaster en el mercado clandestino BreachForums. Después de días de informes y especulaciones de los medios sobre la validez del reclamo, Live Nation, matriz de Ticketmaster, ahora ha reconocido que la violación fue real. Sin embargo, ha confirmado algunos detalles más.

El viernes pasado, Live Nation presentó un aviso de divulgación de violación de datos ante la Comisión de Bolsa y Valores de EE. UU. (SEC), señalando que hubo “actividad no autorizada dentro de un entorno de base de datos en la nube de terceros que contiene datos de la empresa” el 20 de mayo, y que “un delincuente El actor de amenazas ofreció a la venta lo que supuestamente eran datos de usuarios de la empresa a través de la Dark Web” el 27 de mayo.

Sin embargo, el gigante de los eventos no confirmó la alucinante cantidad de registros (560 millones) que ShinyHunters afirmó tener, ni reveló detalles sobre qué tipo de datos contiene el atraco. En la lista de BreachForums, los actores de amenazas afirmaban tener información de identificación personal (PII), como nombres, correos electrónicos, direcciones y detalles parciales de tarjetas de pago.

No obstante, la presentación ante la SEC parece ser voluntaria y señala que LiveNation no espera que la violación sea “material”, es decir, que tenga un impacto en su perfil financiero en el futuro. Esto sugiere que espera pocas consecuencias del incidente y desmiente las afirmaciones de los listados clandestinos.

En cuanto a la base de datos en la nube de terceros involucrada, los miembros de la comunidad de inteligencia de amenazas en correos electrónicos a Dark Reading la identificaron como Snowflake, que emitió su propia declaración reconociendo que ha habido ciberactividad dirigida hacia algunos de sus clientes, que incluyen a Ticketmaster. Pero la publicación en el foro de su comunidad no menciona qué clientes se ven afectados y la compañía no respondió de inmediato a una solicitud de comentarios.

Snowflake señaló que los ataques tuvieron éxito debido a una mala configuración del cliente: “Esta parece ser una campaña dirigida a usuarios con autenticación de un solo factor; como parte de esta campaña, los actores de amenazas han aprovechado credenciales previamente compradas u obtenidas a través de malware de robo de información”.

En general, hay poca confirmación en lo que respecta a los detalles exactos de la infracción, quién se ve afectado y cómo, y los contornos del incidente con respecto a Snowflake y cuáles de sus clientes podrían verse afectados. Más allá de Ticketmaster, las cuentas de Snowflake de alto perfil incluyen AT&T, jetBlue, Mastercard y Santander, que recientemente informó sobre su propia violación de datos que involucra a un proveedor externo no identificado (no ha confirmado que Snowflake fuera la cuenta afectada).

Matt Hull, jefe global de inteligencia de amenazas de NCC Group, dijo que ni siquiera está claro qué papel está desempeñando ShinyHunters.

“Se hizo una publicación en un foro de cibercriminales ruso más de un día antes de la publicación de ShinyHunters en BreachForums sobre la venta de datos de Ticketmaster/Live Nation”, dijo en un comunicado enviado por correo electrónico. “La diferencia notable entre los dos listados es que la publicación en el foro ruso requiere un garante, mientras que la publicación de ShinyHunters en Breach Forums no. Es posible que ShinyHunters esté actuando como representante/intermediario para la venta de datos para el original. atacantes.”

No está claro cuándo podrían surgir detalles adicionales sobre la violación, pero por ahora, Live Nation entregó un lenguaje repetitivo en su presentación ante la SEC: “Estamos trabajando para mitigar el riesgo para nuestros usuarios y la empresa, y hemos notificado y estamos cooperando con las autoridades”. En su caso, también estamos notificando a las autoridades reguladoras y a los usuarios con respecto al acceso no autorizado a información personal”.