Potrebbe trattarsi di una delle più grandi sottrazioni dati di sempre, con il coinvolgimento di compagnie di caratura mondiale.
Il 31 maggio Live Nation ha confermato un data breach ai danni della propria sussidiaria Ticketmaster.
https://www.sec.gov/Archives/edgar/data/1335258/000133525824000081/lyv-20240520.htm
L’attacco rivendicato da ShinyHunters, consisterebbe in una sottrazione, secondo gli hackers, di 1,3 TB di dati, tra cui:
- Dettagli completi di 560 milioni di clienti (nome, indirizzo, e-mail, telefono)
- Vendita di biglietti, informazioni sull’evento, dettagli dell’ordine.
- Dettaglio CC – cliente, ultimi 4 della carta, data di scadenza.
La violazione sarebbe stata perpetrata passando tramite il provider di servizi di archiviazione in cloud Snowflakes.
La piattaforma dati cloud di Snowflake è utilizzata sa oltre 9000 clienti, tra cui alcune delle più grandi aziende a livello mondiale, come Adobe, AT&T, Capital One, HP, Kraft Heinz, Mastercard, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, Western Union, Yamaha e molti altri.
Da questo punto in poi, la vicenda si complica.
Nei pedissequi comunicati visibili anche sul suo community forum, Snowflakes avrebbe avviato subito le indagini:
Snowflake ed esperti di sicurezza informatica di terze parti, CrowdStrike e Mandiant, hanno fornito una dichiarazione congiunta relativa all’ indagine che coinvolge anche alcuni altri account di clienti Snowflake, tra cui potrebbe essere inclusa Santander.
Il comunicato, in aggiornamento ,ad ora resta fermo sulla posizione iniziale ed asserisce che:
- non hanno identificato prove che suggeriscano che questa attività sia stata causata da una vulnerabilità, un’errata configurazione o una violazione della piattaforma Snowflake;
- non sono state identificate prove che suggeriscano che questa attività sia stata causata da credenziali compromesse del personale attuale o precedente di Snowflake;
- sembra trattarsi di una campagna mirata rivolta agli utenti con autenticazione a fattore singolo;
- nell’ambito di questa campagna, gli autori delle minacce hanno sfruttato credenziali precedentemente acquistate o ottenute tramite malware di infostealing; E
- sono state trovate prove che un autore di minacce ha ottenuto credenziali personali e ha avuto accesso agli account demo appartenenti a un ex dipendente di Snowflake. Non conteneva dati sensibili. Gli account demo non sono collegati alla produzione o ai sistemi aziendali di Snowflake. L’accesso è stato possibile perché l’account demo non era protetto da Okta o Multi-Factor Authentication (MFA), a differenza dei sistemi aziendali e di produzione di Snowflake.
Nel corso dell’indagine, Snowflake avrebbe prontamente informato i clienti ritenuti potenzialmente coinvolti.
Le raccomandazioni declinate alle organizzazioni, suggeriscono di adottare immediatamente misure di prevenzione,mitigazione e contenimento quali:
- Applicare l’autenticazione a più fattori su tutti gli account;
- Configurare le regole dei criteri di rete per consentire accesso solo agli utenti autorizzati o consentire solo il traffico da posizioni attendibili (VPN, NAT del carico di lavoro cloud, ecc.); E
- reimpostare e modificare le credenziali di Snowflake.
Nonostante quanto sopra, altri clienti di Snowflakes si stanno facendo avanti, asserendo di aver rilevato sottrazioni di dati , come nel caso di QuoteWizard, controllata di LendingTree.
Altri, come Advance Auto Parts devono ancora notificare pubblicamente la violazione e denunciare l’incidente alla Securities and Exchange Commission degli Stati Uniti, ma sui forum nel dark web sono già apparsi annunci e comunicati relativi a massicce sottrazioni di dati dal cloud interessato.
Per tutta risposta, Venerdì il fornitore di servizi di archiviazione cloud ha inoltre avvisato i clienti che sta indagando su “un aumento” degli attacchi che hanno preso di mira alcuni dei loro account, mentre il CISO di Snowflake ha aggiunto che alcuni account dei clienti sono stati compromessi il 23 maggio.
“Siamo venuti a conoscenza di un accesso potenzialmente non autorizzato a determinati account cliente il 23 maggio 2024. Durante la nostra indagine, abbiamo osservato un aumento dell’attività a partire da metà aprile 2024 da indirizzi IP e client sospetti che riteniamo siano correlati ad accesso non autorizzato”
Restano tuttora fermi sul negare proprie falle di sicurezza o di errata configurazione, come pure risultano poco chiare le motivazioni per l’assenza di comportamenti proattivi come il reimpostare forzatamente le password del parco clienti e rendere obbligatoria una autenticazione multi fattore.
#snowflake #databreach #livenation #ticketmaster #dataleak #datastolen #cybercrime #malware
