Ticketmaster-hack mogelijk gelinkt aan incident bij Snowflake - maar dat wordt ontkend
Het datalek bij Ticketmaster is mogelijk ontstaan door een security-incident bij cloudprovider Snowflake. Dat stelt het Israëlische beveiligingsbedrijf Hudson Rock. Het datalek bij Ticketmaster zou bovendien niet het enige incident zijn dat daaruit is voortgekomen. Ook financieel dienstverlener Satander zegt een beveiligingsincident te hebben. Snowflake ontkent dat er een incident is rond zijn security.
Satander maakte eerder in mei al bekend dat het aangevallen is door cybercriminelen. Het bedrijf zei in een verklaring dat criminelen toegang hadden verkregen tot een database die bij een derde partij gehost staat. Klanten in Chili, Spanje en Uruguary werden daardoor getroffen, net als alle huidige en een aantal voormalige werknemers van Satander.
Vorige week werd duidelijk dat Ticketmaster getroffen is door een datalek. Een hackersgroep genaamd ShinyHunters claimt de gegevens van 560 miljoen klanten te hebben gestolen. Het gaat om namen, e-mailadressen, telefoonnummers, fysieke adressen, transactiegegevens en gedeeltelijke creditcardinformatie. Ticketmaster stelde eind vorige week dat het inderdaad "ongeautoriseerde activiteit in een databaseomgeving van een derde partij" heeft gezien, waar bedrijfsdata is opgeslagen.
De rol van Snowflake
Hudson Rock stelt na eigen onderzoek dat de beide datalekken - en hacks bij mogelijk honderden andere bedrijven - het gevolg zijn van een incident bij één leverancier, namelijk Snowflake. Het onderzoek is inmiddels om onduidelijke redenen offline gehaald, maar via The Wayback Machine nog altijd in te zien. In het blogbericht staan gesprekken die onderzoekers van het beveiligingsbedrijf hadden met de vermeende hacker, die zegt toegang te hebben tot de systemen van Snowflake. Die aanvaller zou data hebben gestolen en geprobeerd hebben deze voor 20 miljoen dollar terug te verkopen aan Snowflake zelf.
De aanvaller is volgens het beveiligingsbedrijf binnengekomen door een infostealer te installeren bij een werknemer van Snowflake. Dergelijke malware verzamelt alle inloggegevens die nodig zijn om de systemen binnen te komen. Snowflake heeft bevestigd dat een ongeautoriseerd persoon is binnengedrongen in zijn systemen en dat er infostealing-malware gevonden is. Volgens het bedrijf is en beperkt aantal klantaccounts gecompromitteerd geraakt, net als een demoaccount van een voormalig werknemer. Maar Snowflake denkt niet dat het de bron is van de andere datalekken.
Een woordvoerder van Ticketmaster zegt tegenover TechCrunch dat de database die gestolen is, inderdaad bij Snowflake gehost werd. Satander wil niet zeggen bij welke derde partij zijn data gehost staat.
Reactie Snowflake
In een verklaring meldt Snowflake echter dat de beweringen van Hudson Rock niet kloppen. Volgens Snowflake werd, als er iets van zijn servers werd gehaald, dit gedaan via de individuele cloudaccounts van zijn klanten, waarbij hun inloggegevens op een andere manier werden gestolen, en niet via een security lek of fout aan van Snowflake.
"Snowflake heeft onlangs een toename waargenomen en onderzoekt momenteel een toename van de cyberdreigingsactiviteit gericht op de accounts van enkele van onze klanten. Wij geloven dat dit het gevolg is van aanhoudende branchebrede, op identiteit gebaseerde aanvallen met de bedoeling klantgegevens te verkrijgen. Onderzoek wijst uit dat dit soort aanvallen werden uitgevoerd met behulp van de gebruikersgegevens van onze klanten, die aan het licht kwamen via niet-gerelateerde cyberdreigingsactiviteiten. Tot op heden geloven we niet dat deze activiteit wordt veroorzaakt door een kwetsbaarheid, verkeerde configuratie of kwaadwillige activiteit binnen het Snowflake-product. Snowflake is een cloudproduct en iedereen kan zich op elk moment aanmelden voor een account. Als een bedreigingsacteur klantreferenties verkrijgt, heeft hij mogelijk toegang tot het account."
Snowflake meldt verder dat het contact heeft opgenomen met een klein aantal klanten wier accounts verdachte activiteit vertoonden. Snowflake meldt verder: "Er heeft een belangrijke ontwikkeling plaatsgevonden in ons cyberbeveiligingsonderzoek. Cybersecurity-experts CrowdStrike en Mandiant zijn het eens met onze voorlopige bevindingen dat er geen inbreuk op ons platform heeft plaatsgevonden, evenals op andere belangrijke onderwerpen. Als u een specifieke verklaring van ons wilt, zou dat het volgende zijn: we hebben geen bewijs gevonden dat suggereert dat deze activiteit werd veroorzaakt door een kwetsbaarheid, verkeerde configuratie of inbreuk op het Snowflake-platform."