Live Nation a confirmé que Ticketmaster avait subi une violation de données après que ses données aient été volées à un fournisseur de base de données cloud tiers, qui serait Snowflake.

« Le 20 mai 2024, Live Nation Entertainment, Inc. (la « Société » ou « nous ») a identifié une activité non autorisée dans un environnement de base de données cloud tiers contenant des données d’entreprise (principalement de sa filiale Ticketmaster LLC) et a lancé une enquête avec des enquêteurs médico-légaux de premier plan pour comprendre ce qui s’est passé », a déclaré Live Nation dans un dépôt vendredi soir auprès de la SEC.

« Le 27 mai 2024, un acteur de la menace criminelle a proposé à la vente ce qu’il prétendait être des données d’utilisateurs de l’entreprise via le Dark Web. »

« Nous travaillons à atténuer les risques pour nos utilisateurs et l’entreprise, et avons notifié et coopérons avec les forces de l’ordre. Le cas échéant, nous informons également les autorités de réglementation et les utilisateurs en cas d’accès non autorisé aux informations personnelles. »

Bien que la violation aurait exposé les données de plus de 560 millions d’utilisateurs de Ticketmaster, la société déclare qu’elle ne pense pas que la violation aura un impact significatif sur l’ensemble des opérations commerciales ou sa situation financière.

Cet aveu intervient après qu’un acteur de la menace connu sous le nom de Shiny Hunters a tenté de vendre les données de Ticketmaster sur un forum de piratage pour 500 000$.

Les bases de données prétendument volées contiendraient 1,3 To de données, y compris les coordonnées complètes des clients (c’est-à-dire les noms, les adresses personnelles et électroniques et les numéros de téléphone), ainsi que les informations sur les ventes de billets, les commandes et les événements pour 560 millions de clients.

Données Ticketmaster à vendre sur un forum de piratage

Lors d’une conversation avec l’acteur de la menace, ShinyHunters a déclaré à Breachtrace qu’il y avait des acheteurs intéressés par les données. Ils croyaient que l’un des acheteurs qui les avait approchés était Ticketmaster eux-mêmes.

Lorsqu’on lui a demandé comment ils avaient volé les données, l’auteur de la menace a déclaré qu’ils « ne pouvaient rien dire à ce sujet. »

Cependant, aujourd’hui, plus d’informations ont été révélées sur la manière dont les acteurs de la menace ont eu accès à la base de données Ticketmaster et éventuellement aux données de nombreux autres clients.

Alon Gal de Hudson Rock s’est entretenu avec l’un des acteurs de la menace à l’origine de l’attaque, qui a affirmé qu’ils étaient responsables des récentes violations de données de Santander et Ticketmaster et a déclaré qu’ils avaient volé les données de la société de stockage en nuage Snowflake.

Selon l’auteur de la menace, ils ont utilisé des informations d’identification volées à l’aide de logiciels malveillants voleurs d’informations pour violer le compte ServiceNow d’un employé de Snowflake, qu’ils ont utilisé pour exfiltrer des informations de l’entreprise. Ces informations comprenaient des jetons d’authentification non expirés qui pouvaient être utilisés pour créer des jetons de session et accéder aux comptes clients pour télécharger des données.

L’acteur de la menace affirme avoir utilisé cette méthode pour voler des données à d’autres sociétés, notamment Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate et Advance Auto Parts.

Progressive et Mistubishi ont contesté les affirmations de l’auteur de la menace, déclarant à Breachtrace qu’il n’y avait aucune indication de violation de leurs systèmes ou de leurs données.

Snowflake affirme que les récentes violations ont été causées par des comptes clients mal sécurisés dont les informations d’identification ont été volées et dont l’authentification multifacteur n’était pas activée.

La société a ajouté que les attaques avaient commencé à la mi-avril, les données des clients ayant été volées pour la première fois le 23 mai. Snowflake a partagé les IOC des attaques afin que les clients puissent interroger les journaux pour déterminer s’ils ont été violés.

Charles Carmakal, directeur technique de Mandiant Consulting, a déclaré à Breachtrace que Mandiant avait enquêté sur des clients Snowflake compromis au cours des dernières semaines et pensait que leurs locataires Snowflake avaient été violés à l’aide d’identifiants volés.

Lorsque nous avons contacté Snowflake pour confirmer les affirmations de l’auteur de la menace selon lesquelles il avait piraté le compte d’un employé, au lieu de les contester, ils ont dit qu’ils n’avaient plus rien à partager.

C’est une histoire en développement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *