Το Ticketmaster παραβιάστηκε σε αυτό που πιστεύεται ότι είναι ένα κατά συρροή χτύπημα των πελατών της Snowflake

[nnn]

Ο πάροχος υπηρεσιών cloud Snowflake δήλωσε ότι λογαριασμοί που ανήκουν σε πολλούς πελάτες έχουν παραβιαστεί αφού οι δράστες απειλών απέκτησαν διαπιστευτήρια μέσω κακόβουλου λογισμικού κλοπής πληροφοριών ή αγοράζοντάς τα σε διαδικτυακά φόρουμ εγκλήματος.

Η μητρική εταιρεία Ticketmaster Live Nation -η οποία αποκάλυψε την Παρασκευή ότι οι χάκερ απέκτησαν πρόσβαση σε δεδομένα που αποθήκευσε μέσω ενός μη κατονομαζόμενου τρίτου παρόχου- δήλωσε στο TechCrunch ότι ο πάροχος ήταν η Snowflake. Ο μεσίτης εισιτηρίων για ζωντανές εκδηλώσεις δήλωσε ότι εντόπισε το hack στις 20 Μαΐου και μια εβδομάδα αργότερα, ένας «δράστης εγκληματικής απειλής προσέφερε προς πώληση μέσω του σκοτεινού ιστού αυτά που υποτίθεται ότι ήταν δεδομένα χρηστών της εταιρείας».

Η Ticketmaster είναι ένας από τους έξι πελάτες της Snowflake που επλήγησαν από την εκστρατεία hacking, δήλωσε ο ανεξάρτητος ερευνητής ασφαλείας Kevin Beaumont, επικαλούμενος συνομιλίες με άτομα μέσα στις επηρεαζόμενες εταιρείες. Η Διεύθυνση Σήμανσης της Αυστραλίας δήλωσε το Σάββατο ότι γνώριζε για «επιτυχείς παραβιάσεις αρκετών εταιρειών που χρησιμοποιούν περιβάλλοντα Snowflake». Ερευνητές της εταιρείας ασφαλείας Hudson Rock δήλωσαν σε μια ανάρτηση που έχει πλέον διαγραφεί ότι η Santander, η μεγαλύτερη τράπεζα της Ισπανίας, παραβιάστηκε επίσης στο πλαίσιο της εκστρατείας. Οι ερευνητές επικαλέστηκαν διαδικτυακές συνομιλίες κειμένου με τον δράστη της απειλής. Τον περασμένο μήνα, η Santander αποκάλυψε παραβίαση δεδομένων που επηρέασε πελάτες στη Χιλή, την Ισπανία και την Ουρουγουάη.

«Το σημαντικό της υπόθεσης Snowflake είναι ότι το μαζικό scraping συνέβαινε, αλλά κανείς δεν το πρόσεξε, και δείχνουν τους πελάτες επειδή έχουν φτωχά διαπιστευτήρια», έγραψε ο Beaumont στο Mastodon. «Φαίνεται ότι πολλά δεδομένα λήφθηκαν από διάφορους οργανισμούς».

Η είδηση των παραβιάσεων ήρθε εβδομάδες αφότου μια ομάδα χάκερ που αυτοαποκαλείται ShinyHunters πήρε τα εύσημα για την παραβίαση της Santander και της Ticketmaster και δημοσίευσε δεδομένα που υποτίθεται ότι ανήκαν και στις δύο ως αποδεικτικά στοιχεία. Η ομάδα ανέβηκε σε ένα φόρουμ παραβίασης για να ζητήσει 2 εκατομμύρια δολάρια για τα δεδομένα της Santander, τα οποία, όπως είπε, περιλάμβαναν 30 εκατομμύρια αρχεία πελατών, 6 εκατομμύρια αριθμούς λογαριασμών και 28 εκατομμύρια αριθμούς πιστωτικών καρτών. Ζητούσε 500.000 δολάρια για τα δεδομένα της Ticketmaster, τα οποία η ομάδα ισχυρίστηκε ότι περιλάμβαναν πλήρη ονόματα, διευθύνσεις, αριθμούς τηλεφώνου και μερικούς αριθμούς πιστωτικών καρτών για 560 εκατομμύρια πελάτες.

Σύμφωνα με την Snowflake, ο δράστης της απειλής χρησιμοποίησε ήδη παραβιασμένα διαπιστευτήρια λογαριασμού στην εκστρατεία κατά των πελατών της. Αυτοί οι λογαριασμοί δεν προστατεύονταν από έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).

Η Snowflake δήλωσε επίσης ότι ο δράστης χρησιμοποίησε παραβιασμένα διαπιστευτήρια σε λογαριασμό πρώην υπαλλήλου που δεν προστατεύονταν από MFA. Αυτός ο λογαριασμός, σύμφωνα με την εταιρεία, δημιουργήθηκε για σκοπούς επίδειξης.

«Δεν περιείχε ευαίσθητα δεδομένα», αναφέρεται στην ειδοποίηση της Snowflake. «Οι λογαριασμοί επίδειξης δεν συνδέονται με τα συστήματα παραγωγής ή τα εταιρικά συστήματα της Snowflake».

Η εταιρεία προτρέπει όλους τους πελάτες να διασφαλίσουν ότι όλοι οι λογαριασμοί τους προστατεύονται με MFA. Στην ανακοίνωση προστίθεται ότι οι πελάτες θα πρέπει επίσης να ελέγχουν τους λογαριασμούς τους για σημάδια παραβίασης χρησιμοποιώντας αυτούς τους δείκτες.

Πηγή : Ars Technica

[nnn]

Μια πιστωτική και μια χρεωστική της Πειραιώς, που είχαν χρησιμοποιηθεί στην Ticketmaster (εισιτήρια Ολυμπιακού), ήρθε μήνυμα πως μπλοκαρίστηκαν, λόγω προσπάθειας χρήσης σε χώρα της Ασίας.

[acct]

Μια πιστωτική και μια χρεωστική της Πειραιώς, που είχαν χρησιμοποιηθεί στην Ticketmaster (εισιτήρια Ολυμπιακού), ήρθε μήνυμα πως μπλοκαρίστηκαν, λόγω προσπάθειας χρήσης σε χώρα της Ασίας.

Να υποθέσω ότι τις είχες αποθηκευμένες στον λογαριασμό; Ή απλώς τις είχες χρησιμοποιήσει;

Είμαι περίεργος να δω αν μπορούμε να καταλάβουμε τη φύση των δεδομένων που έχουν διαρρεύσει.

[aragorn]

εγώ πάντως μόλις έσβησα τις δικές μου που ήταν αποθηκευμένες...

[tsigarid]

εγώ πάντως μόλις έσβησα τις δικές μου που ήταν αποθηκευμένες...

Πολύ αργά. Εγώ δεν τις έχω αποθηκευμένες, στις περισσότερες υπηρεσίες προτιμώ να μην αποθηκεύω τα στοιχεία πληρωμής, και ας σημαίνει αυτό ότι θα μου παίρνει ένα λεπτό παραπάνω για να πληρώσω.

[aragorn]

Ούτως ή άλλως για να γίνει η συναλλαγή πρέπει να δώσω έγκριση μέσω της εφαρμογής web banking του κινητού.
Προς το παρόν δεν έχει γίνει κάποια απόπειρα χρέωσης.
Θα δούμε...

[nnn]

Να υποθέσω ότι τις είχες αποθηκευμένες στον λογαριασμό; Ή απλώς τις είχες χρησιμοποιήσει;

Είχαν χρησιμοποιηθεί απλά.

Ειδοποίηση έγκρισης δεν ήρθε ποτέ, υποθέτω το fraud alert, κλείδωσε τις κάρτες πριν προχωρήσει κάτι.

[acct]

Είχαν χρησιμοποιηθεί απλά.

Να, αυτό με ενοχλεί. Θεωρητικά δεν θα έπρεπε να έχουν κανέναν τρόπο να υποκλέψουν τα στοιχεία πληρωμής σου, αν δεν έχει κρατηθεί κάπου αφανές αντίγραφο. Υπάρχει πάντα το ενδεχόμενο τα στοιχεία σου να διέρρευσαν αλλού, αλλά τώρα θα μείνουμε αναγκαστικά με την απορία.

Και είναι σχεδόν εξίσου ενοχλητικό ότι πρέπει να έχουν διαρρεύσει όλα τα υπόλοιπα προσωπικά στοιχεία, όπως Ον/νο, Διεύθυνση. Η οποία διεύθυνση δεν μπορούσε καν να διαγραφεί στον δικό μου λογαριασμό.

Πολύ αργά. Εγώ δεν τις έχω αποθηκευμένες, στις περισσότερες υπηρεσίες προτιμώ να μην αποθηκεύω τα στοιχεία πληρωμής, και ας σημαίνει αυτό ότι θα μου παίρνει ένα λεπτό παραπάνω για να πληρώσω.

Ακριβώς το ίδιο, αλλά υπάρχουν περιπτώσεις που δεν μπορείς να κάνεις αλλιώς. Χαρακτηριστικότερο όλων το Disney+, που σου λέει ότι, αν θες να διαγραφούν τα στοιχεία της τελευταίας μεθόδου πληρωμής, μπορείς μόνο να διαγράψεις εντελώς τον λογαριασμό σου.

[Pixel 57]

Πολλά προβλήματα για την ticketmaster τελευταία. Και μόλις άρχισαν....

Μια πιστωτική και μια χρεωστική της Πειραιώς, που είχαν χρησιμοποιηθεί στην Ticketmaster (εισιτήρια Ολυμπιακού), ήρθε μήνυμα πως μπλοκαρίστηκαν, λόγω προσπάθειας χρήσης σε χώρα της Ασίας.

Ε καλά να πάθεις που παίρνεις εισιτήρια του ακατονόμαστου.

[nnn]

Ε καλά να πάθεις που παίρνεις εισιτήρια του ακατονόμαστου.

Μόνο εφτασφύριχτού ?

[Pixel 57]

Μόνο εφτασφύριχτού ?

Εξαρτάται αν σου αρέσει το μπάσκετ ή η ελληνορωμαϊκή.

[stel67]

...
Η Snowflake δήλωσε επίσης ότι ο δράστης χρησιμοποίησε παραβιασμένα διαπιστευτήρια σε λογαριασμό πρώην υπαλλήλου που δεν προστατεύονταν από MFA. Αυτός ο λογαριασμός, σύμφωνα με την εταιρεία, δημιουργήθηκε για σκοπούς επίδειξης.

«Δεν περιείχε ευαίσθητα δεδομένα», αναφέρεται στην ειδοποίηση της Snowflake. «Οι λογαριασμοί επίδειξης δεν συνδέονται με τα συστήματα παραγωγής ή τα εταιρικά συστήματα της Snowflake».

Η εταιρεία προτρέπει όλους τους πελάτες να διασφαλίσουν ότι όλοι οι λογαριασμοί τους προστατεύονται με MFA. Στην ανακοίνωση προστίθεται ότι οι πελάτες θα πρέπει επίσης να ελέγχουν τους λογαριασμούς τους για σημάδια παραβίασης χρησιμοποιώντας αυτούς τους δείκτες.

Πηγή : Ars Technica

Αυτό με την SnowFlake είναι εξαιρετικά ανησυχητικό. Η υπηρεσία αυτή είναι για Data Warehousing κυρίως. Μαζεύουν στοιχεία από διάφορα συστήματα και στη συνέχεια τα αναλύουν Είναι δυνατόν να είναι configured αυτό το πράγμα χωρίς MFA enforced by default?
Είναι δυνατόν να κατεβάζει κάποιος GB επί GB δεδομένων και να μην το πάρουν καν χαμπάρι οι network admins του cloud provider; Αυτά είναι αδιανόητα. Ξέρω περίπτωση (δεν μπορώ να πω ονόματα) που ο cloud operator απλώς έκανε shutdown το service όταν είδε μεγάλο egress traffic προς IP στην Κίνα και μετά άρχισαν τα τηλεφωνήματα στο χρήστη του cloud για να τον ειδοποιήσουν.
Αυτά είναι καραγκιοζιλίκια. Τι ζούμε, τι έχουν να δουν ακόμα τα μάτια μας.
Η Ticketmaster έχει PCI-DSS certification?
[Edit]
https://www.polymerhq.io/blog/ticket...-need-to-know/

This breach first came to light after an infamous hacking group, ShinyHunters, put 1.3 terabytes of stolen data up for sale on the cybercrime forum, Breach Forums, priced at $500,000.

The data included:
* Full names
* Addresses
* Email addresses
* Phone numbers
* Ticket sales and event details
* Order information
* Partial payment card data:
* Customer names
* Last four digits of card numbers
* Expiration dates
* Customer fraud details

Με social hacking με τα παραπάνω κάνεις "θαύματα".

[Crosswind]

Ούτε καν ίδρωσε το αυτάκι τους. Το απόλυτο μονοπώλιο είναι οι γλίτσες του ticketmaster.