Hackers revelan cómo supuestamente robaron datos de Ticketmaster de Snowflake.
Un pirata informático de ShinyHunters le dijo a WIRED que lograron acceder a la cuenta de la nube Snowflake de Ticketmaster, y a otras, al primero comprometer a un contratista externo.
Hackers lograron acceder a terabytes de datos de Ticketmaster y otros clientes de Snowflake, una empresa de almacenamiento en la nube. El acceso se obtuvo inicialmente violando a un contratista fundado en Bielorrusia que trabaja con estos clientes. Cerca de 165 cuentas de clientes podrían haber sido afectadas en el reciente ataque cibernético, aunque solo se han identificado algunas hasta el momento. Además de Ticketmaster, el banco Santander confirmó que su cuenta de Snowflake fue comprometida. Los datos robados incluyen detalles de cuentas bancarias de 30 millones de clientes y números de tarjetas de crédito, entre otros datos sensibles. Otras empresas como Lending Tree y Advance Auto Parts también podrían haber sido afectadas.
Snowflake no ha revelado cómo los hackers accedieron a las cuentas, solo mencionando que no fue a través de la red de Snowflake directamente. Una firma de seguridad propiedad de Google, Mandiant, reveló que los hackers obtuvieron acceso a través de contratistas de terceros en algunos casos. Uno de esos contratistas señalados fue EPAM Systems, una empresa de servicios digitales fundada por Arkadiy Dobkin, quien según un hacker llamado ShinyHunters, fue utilizado para acceder a cuentas de Snowflake.
A pesar de que EPAM niega su participación en las brechas, los hackers lograron robar datos de las cuentas de Snowflake, incluida la de Ticketmaster, y extorsionaron a los propietarios exigiendo grandes sumas de dinero para no vender los datos. Los hackers afirman haber tenido acceso a estas cuentas debido a credenciales débiles y la falta de autenticación multifactor.
El incidente destaca los riesgos de seguridad crecientes de terceros y de los infostealers. Mandiant señaló que varios contratistas fueron vulnerados para acceder a cuentas de Snowflake. Además, la falta de autenticación multifactor hizo posible estas brechas en la campaña. Snowflake está trabajando en implementar la autenticación multifactor como medida de seguridad adicional.
