Na semana passada, o grupo hack-and-leak conhecido como ShinyHunters colocou à venda o que alegava ser dados de mais de meio bilhão de clientes da Ticketmaster no mercado underground BreachForums. Após dias de relatos e especulações da mídia sobre a veracidade da afirmação, a Live Nation, empresa dona da Ticketmaster, reconheceu que houve de fato uma violação. No entanto, poucos outros detalhes foram confirmados.
Na última sexta-feira, a Live Nation enviou um aviso de violação de dados à Comissão de Valores Mobiliários dos EUA (SEC), informando que houve “atividade não autorizada em um ambiente de banco de dados na nuvem de terceiros contendo dados da empresa” em 20 de maio, e que “um ator criminoso ameaçou vender o que alegava ser dados de usuários da empresa na Dark Web” em 27 de maio.
No entanto, a gigante dos eventos não confirmou o número impressionante de registros (560 milhões) que o ShinyHunters afirmou ter, nem revelou detalhes sobre o tipo de dados obtidos no roubo. Na lista do BreachForums, os criminosos afirmaram ter informações pessoalmente identificáveis como nomes, e-mails, endereços e detalhes parciais de cartões de pagamento.
Apesar disso, o arquivamento na SEC parece ser voluntário e observa que a LiveNation não espera que a violação seja “material”, ou seja, impactante em seu perfil financeiro no futuro. Isso sugere que a empresa espera poucas repercussões do incidente e contradiz as reivindicações nas listagens underground.
A Ticketmaster não respondeu a um pedido de comentário do Dark Reading.
Quanto ao banco de dados na nuvem de terceiros envolvido, membros da comunidade de inteligência de ameaças em e-mails ao Dark Reading identificaram que se trata da Snowflake, que emitiu sua própria declaração reconhecendo que houve atividade cibernética direcionada a alguns de seus clientes, incluindo a Ticketmaster. No entanto, o post em seu fórum comunitário não nomeou os clientes afetados, e a empresa não respondeu imediatamente a um pedido de comentário.
A Snowflake observou que os ataques tiveram sucesso devido à má configuração do cliente: “Isso parece ser uma campanha direcionada a usuários com autenticação em fator único; como parte dessa campanha, os atores de ameaça alavancaram credenciais previamente adquiridas ou obtidas por meio de malware de roubo de informações”.
No geral, há pouca confirmação quando se trata dos detalhes exatos da violação, quem é afetado e de que forma, e os contornos do incidente em relação à Snowflake e quais de seus clientes podem ser afetados. Além da Ticketmaster, contas de alto perfil da Snowflake incluem AT&T, jetBlue, Mastercard e o Santander, que recentemente relatou sua própria violação de dados envolvendo um provedor de terceiros não identificado (não confirmou se a Snowflake foi a conta afetada).
Além disso, Matt Hull, chefe global de inteligência de ameaças na NCC Group, afirmou que não está claro qual é o papel do ShinyHunters.
“Um post em um fórum de cibercriminosos russo foi feito mais de um dia antes do post do ShinyHunters no BreachForums sobre a venda dos dados da Ticketmaster/Live Nation”, afirmou em um comunicado por e-mail. “A diferença notável entre as duas listagens é que o post no fórum russo exige um fiador, enquanto o post do ShinyHunters no Breach Forums não exige. É possível que o ShinyHunters esteja atuando como um intermediário para a venda de dados para os atacantes originais”.
Não está claro quando detalhes adicionais podem surgir sobre a violação, mas por enquanto, a Live Nation divulgou uma linguagem padrão em seu arquivamento na SEC: “Estamos trabalhando para mitigar o risco para nossos usuários e a empresa, e notificamos e estamos cooperando com as autoridades policiais. Quando apropriado, também estamos notificando as autoridades reguladoras e os usuários em relação ao acesso não autorizado às informações pessoais”.
