Die Vorverkaufsplattform Ticketmaster wurde gehackt. In einem Bericht an die US-Börsenaufsichtsbehörde (SEC) erklärte die Muttergesellschaft Live Nation, dass sie "unautorisierte Aktivitäten in einer Cloud-Datenbank eines Drittanbieters" festgestellt habe. Betroffen seien bis zu 560 Millionen Nutzerinnen und Nutzer.
Das Unternehmen erklärte, es habe den Angriff am 20. Mai bemerkt und eine spezialisierte Firma mit der Untersuchung beauftragt. Gemäss verschiedenen Medienberichten soll die Bande "Shinyhunters" für den Abfluss der Daten verantwortlich sein. Unter den Daten sollen sich Namen, Adressen und Kreditkarteninformationen befinden. Die Gruppe verlangte eine Lösegeldzahlung von 500'000 Dollar.
"Wir arbeiten daran, das Risiko für unsere Nutzer und das Unternehmen zu minimieren. Wir haben die Strafverfolgungsbehörden benachrichtigt und arbeiten mit ihnen zusammen", erklärte Live Nation. Der Vorfall werde "keinen wesentlichen Einfluss auf unser gesamtes Geschäft oder auf unsere finanzielle Situation haben".
Australien leitet Untersuchung ein
Die australische Regierung hatte zuvor mitgeteilt, dass sie eine Untersuchung zum Hackerangriff eingeleitet habe. Die US-Bundespolizei FBI bot ihre Hilfe an.
Die Hackergruppe Shinyhunters hatte bereits 2020 für Schlagzeilen gesorgt, als sie nach Angaben des US-Justizministeriums eine riesige Menge an Kundendaten von mehr als 60 Unternehmen ins Netz stellte. Im Januar wurde in Seattle ein französisches Mitglied der Gruppe zu drei Jahren Haft und einer Entschädigungszahlung von fünf Millionen Dollar verurteilt.
Derweil wurde bekannt, dass auch der australische Ticketanbieter Ticketek Opfer eines Cyberangriffs wurde. Das Unternehmen machte keine Angaben zum Ausmass des Datenlecks, während die australische Regierung erklärte, dass "viele" Australierinnen und Australier betroffen sein könnten.
Ticketmaster im Visier der Justiz
Ticketmaster war im Jahr 2010 von Live Nation übernommen worden. Das Mutterhaus stieg damit zu einem globalen Riesen der Konzertbranche auf. Das Unternehmen steht in den USA bereits seit Jahrzehnten wegen hoher Servicegebühren in der Kritik.
Das US-Justizministerium reichte in der vergangenen Woche eine Kartellklage gegen das Unternehmen ein, weil befürchtet wird, dass es seine marktbeherrschende Stellung missbraucht haben soll, um die Ticketpreise nach oben zu treiben und andere Anbieter vom Markt zu verdrängen.
Weitere Firmen betroffen
Wie
'Borns IT- und Windows-Blog' berichtet, könnten die Datenlecks bei den beiden Ticketverkäufern im Zusammenhang mit einem Cyberangriff auf Snowflake stehen. So schreibt etwa Sicherheitsforscher Kevin Beaumont auf X, dass es einen "sehr grossen Cybervorfall bei Snowflake gegeben habe". Das Unternehmen betreibt eine eigene Cloud-Plattform, die von fast 10'000 Kunden genutzt wird.
Snowflake bietet zudem eine kostenlose Testversion an, bei der sich jeder anmelden und Daten hochladen kann. Gemäss dem Sicherheitsforscher haben die Cyberkriminellen das wohl auch getan. Laut Beaumont haben sie seit etwa einem Monat Kundendaten mit einem Tool namens Rapeflake abgegriffen. Demnach sollen bei Snowflake massenhaft Informationen abgeflossen sein, ohne dass dies bemerkt wurde.
Laut Beaumont könnte sich das Problem auch noch weiter ausweiten. So sollen bei Snowflake weitere Daten "von einer Reihe von Organisationen" abgezogen worden sein. Betroffen ist auch die spanische Bank Santander. Auf Breachforums bietet Shinyhunters für 2 Millionen US-Dollar ein Datenpaket an, das Daten zu 30 Millionen Kunden sowie Mitarbeitenden der Grossbank enthalten soll.
Der Sicherheitsforscher steht derzeit mit sechs Unternehmen in Kontakt, die ebenfalls von Vorfällen im Zusammenhang mit Snowflake betroffen sind. In seinem
eigenen Blog fasst er die Geschehnisse auf Englisch zusammen.
Ursache des Breach unklar
Snowflake seinerseits dementiert, dass die eigenen Produkte für die Datenpannen verantwortlich sind. Das Unternehmen erklärte, dass es derzeit "eine Zunahme von Cyberaktivitäten" untersuche, die auf einige Kundenkonten abzielten.
Gegenüber
'The Record' räumte Snowflake zwar ein, dass mit gestohlenen Anmeldeinformationen auf ein Demokonto eines ehemaligen Mitarbeiters zugegriffen wurde, sagte aber gleichzeitig, dass dieses keine sensiblen Daten enthielt.
Das Unternehmen beteuerte zudem, dass es keine Möglichkeit gibt, auf die Anmeldedaten von Kundinnen und Kunden zuzugreifen und sie aus der Produktionsumgebung von Snowflake zu entfernen. Die Cybersecurity-Anbieter Crowdstrike und Mandiant hätten zudem festgestellt, dass es keinen Angriff auf die Plattform von Snowflake gegeben hat, schrieb uns das Unternehmen über seine PR-Agentur.
"Wir haben keine Beweise gefunden, die darauf hindeuten, dass diese Aktivität durch eine Schwachstelle, eine Fehlkonfiguration oder einen Angriff auf die Snowflake-Plattform verursacht wurde", wird Snowflake in der Stellungnahme zitiert.
"Der Zugriff war möglich, weil das Demokonto im Gegensatz zu den Unternehmens- und Produktionssystemen von Snowflake nicht hinter Okta oder Multi-Faktor-Authentifizierung (MFA) stand", schreibt das Unternehmen. Demnach haben die Bedrohungsakteure Anmeldedaten genutzt, die zuvor gekauft oder durch infostealing Malware erlangt wurden und haben damit Accounts mit Ein-Faktor-Authentifizierung angegriffen.
Daten werden auf Breachforum verkauft
In einem neuen Beitrag schreibt Shinyhunters, man "habe die Dinge unter Kontrolle". Zudem wird behauptet, dass die Strafverfolgungsbehörden nur Zugriff auf eine Datenbank hatten, die von einem früheren Administrator an die Behörden übergeben wurde. Auch ihre Domain konnten die Cyberkriminellen wiederherstellen.
(Mit Material von Keystone-sda)
Update 16.20 Uhr: Weitere Entwicklung und Stellungnahme von Snowflake ergänzt.