Ticketmaster ha comenzado a notificar a sus clientes afectados por una violación de datos tras el robo de la base de datos Snowflake de la compañía por parte de piratas informáticos. Esta base de datos contenía información de millones de personas.
«Ticketmaster descubrió recientemente que un tercero no autorizado obtuvo información de una base de datos en la nube alojada por un proveedor de servicios de datos externo», se menciona en una notificación de violación de datos compartida con la Oficina del Fiscal General de Maine.
«Basándonos en nuestra investigación, determinamos que la actividad no autorizada ocurrió entre el 2 de abril de 2024 y el 18 de mayo de 2024. El 23 de mayo de 2024, concluimos que parte de su información personal puede haberse visto afectada por el incidente. No hemos observado ninguna actividad adicional no autorizada en la base de datos en la nube desde que iniciamos nuestra investigación.»
Ticketmaster afirma que la violación expuso los nombres de los clientes, información de contacto básica y otros datos específicos del usuario. La compañía recomienda a sus clientes que «permanezcan atentos» contra el robo de identidad y el fraude, y ha ofrecido un año de monitoreo de identidad gratuito para rastrear su historial crediticio.
Aunque Ticketmaster inicialmente informó que la violación afectó a más de 1000 personas, en realidad impactó a millones de clientes en todo el mundo, exponiendo información altamente confidencial.
El Ataque de Robo de Datos Snowflake de Ticketmaster
El mes pasado, el grupo de amenazas conocido como ShinyHunters comenzó a vender datos robados de Live Nation/Ticketmaster, alegando que contenían información personal e información de tarjetas de crédito de 560 millones de usuarios. Los actores de amenazas utilizaron credenciales de Ticketmaster comprometidas que no tenían habilitada la autenticación multifactor para acceder a los datos de la cuenta de Snowflake.
Snowflake es una empresa de almacenamiento de datos en la nube que utiliza Ticketmaster para almacenar bases de datos, procesar datos y realizar análisis. ShinyHunters comenzó a vender los datos el 28 de mayo en un foro de piratería por 500.000 dólares. El grupo afirmó que los datos incluían 1,3 TB de información de 560 millones de clientes, detalles de venta de entradas, información de eventos, fraude de clientes e información parcial de tarjetas de crédito.
Las muestras de los datos vistas por BleepingComputer incluían nombres completos, direcciones de correo electrónico, números de teléfono, direcciones, detalles de tarjetas de crédito con hash y montos de pago, mucho más que la «información de contacto básica» inicialmente mencionada.
Respuesta de Ticketmaster
Después de varios días de silencio, Ticketmaster confirmó la violación el 31 de mayo en una presentación ante la SEC, afirmando que no creían que la violación tuviera un impacto material en su empresa.
La violación de Ticketmaster es uno de los muchos ataques recientes vinculados a la plataforma de base de datos Snowflake. Una investigación conjunta de Snowflake, Mandiant y CrowdStrike reveló que un actor de amenazas, rastreado como UNC5537, utilizó credenciales de clientes comprometidas para atacar al menos 165 organizaciones que no habían configurado la autenticación multifactor en sus cuentas.
Para violar las cuentas de Snowflake, el actor de amenazas utilizó credenciales robadas por infecciones de malware que se remontan a 2020. Entre las filtraciones recientes vinculadas a estos ataques se encuentran Neiman Marcus, Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified y Pure Storage.
Fuente: Bleepingcomputer