Der Cyberangriff auf Ticketmaster Hunderte Millionen Kundendaten wurden gestohlen

Einer der bedeutendsten Cyberangriffe des Jahres könnte im Gange sein. Am Freitag, den 31. Mai 2024, bestätigte Live Nation, das Unternehmen hinter Ticketmaster, eine Datenschutzverletzung, nachdem Cyberkriminelle behaupteten, eine halbe Milliarde Kundendaten online zu verkaufen. Santander, der Bankenriese, berichtete außerdem, dass Millionen von Kunden- und Mitarbeiterdaten von derselben Gruppe von Hackern kompromittiert wurden. Die genauen Einzelheiten dieser Verstöße, einschließlich der Art und Weise, welche Informationen gestohlen wurden, sind nach wie vor unklar. Die Vorfälle scheinen mit Angriffen auf Unternehmenskonten in Verbindung zu stehen, die von Snowflake gehostet werden, einem US-Cloud-Anbieter, zu dessen Kunden Adobe, Canva und Mastercard gehören, die dort riesige Datenmengen speichern und analysieren. Sicherheitsexperten gehen davon aus, dass andere Unternehmen bald ähnliche Verstöße aufdecken könnten. Derzeit ist die Situation nach wie vor komplex und verwirrend. „Snowflake hat vor Kurzem eine Zunahme von Cyberbedrohungen beobachtet, die auf die Konten einiger unserer Kunden abzielen, und untersucht ihn derzeit“, schrieb Brad Jones, Chief Information Security Officer von Snowflake, am Freitag in einem Blogbeitrag.

Die ersten Anzeichen dieser Verstöße traten am 27. Mai auf, als ein Konto im Cyberkriminalforum „Exploit“ den Verkauf von 1,3 TB an Ticketmaster-Daten ankündigte, die Informationen über über 560 Millionen Menschen enthielten. Der Hacker verlangte 500.000$ für diese Datenbank. Die Gruppe ShinyHunters, seit 2020 für Datendiebstahl bekannt, veröffentlichte daraufhin dieselbe Ankündigung auf BreachForums, einem Forum, das kürzlich nach der Schließung durch das FBI neu gestartet wurde. Am 30. Mai gab ShinyHunters an, Daten von 30 Millionen Santander-Kunden und -Mitarbeitern für 2 Millionen US-Dollar verkauft zu haben. Diese Ankündigungen haben das Interesse am illegalen Markt erneut geweckt. Beide Hacks wurden von der israelischen Sicherheitsfirma Hudson Rock mit Snowflake in Verbindung gebracht, die Konversationen mit dem Hacker veröffentlichte und dann löschte, der behauptete, auf Snowflake-Systeme zugegriffen zu haben und versucht zu haben, die Daten für 20 Millionen US-Dollar weiterzuverkaufen. Hudson Rock vermutete, dass ein Snowflake-Mitarbeiter möglicherweise mit Malware infiziert wurde, die Informationen stiehlt. Charles Carmakal von Mandiant, einem Sicherheitsunternehmen von Google, wies ebenfalls darauf hin, dass Malware zum Stehlen von Informationen im Spiel sein könnte. Ticketmaster bestätigte in einer Einreichung bei der SEC, dass die gestohlene Datenbank auf Snowflake gehostet wurde. Santander hatte zuvor den unbefugten Zugriff auf eine Datenbank erwähnt, die „von einem Drittanbieter gehostet wird“, ohne den Anbieter zu nennen. Die Behörden warnen vor den möglichen Auswirkungen dieser Angriffe. Das Australian Cyber Security Center gab eine Warnmeldung mit der höchsten Warnstufe heraus und wies auf die Kompromisse mehrerer Unternehmen hin, die Snowflake-Umgebungen verwenden. Es wird empfohlen, die Kontoanmeldeinformationen zurückzusetzen, die Multifaktor-Authentifizierung zu aktivieren und die Benutzeraktivitäten zu überwachen. „Es scheint, dass Snowflake eine ziemlich erhebliche Sicherheitslücke erlitten hat“, sagte der Sicherheitsforscher Troy Hunt von der bekannten Website zur Meldung von Datenschutzverletzungen „Have I Been Pwned“ in einem Interview mit WIRED.

Das Sicherheitsunternehmen Mitiga gab bekannt, dass ein Bedrohungsakteur ein Angriffstool namens „Rapeflake“ gegen Snowflake-Datenbanken verwendet. Roei Sherman, Field CTO von Mitiga, gibt an, dass über dieses Tool wenig bekannt ist, der Angriff jedoch in Zukunft weitreichendere Auswirkungen haben könnte. Mehrere betroffene Unternehmen haben Mitiga um Hilfe gebeten, und Mandiant hat einige Kunden von Snowflake unterstützt. Er erklärt: „Wir haben noch nicht das volle Ausmaß der Auswirkungen gesehen“, „Snowflake hat Tausende von Kunden, und einige ihrer Kunden sind große Unternehmen. Wir hoffen, mehr über andere gefährdete Unternehmen zu erfahren.“