Ticketmaster von grossem Datenleck betroffen

3. Juni 2024 um 10:16
image
Foto: Yvette de Wit / Unsplash+

Medienberichten zufolge wurden Daten von über 500 Millionen Kundinnen und Kunden gestohlen. Auch weitere Firmen sind vom Breach betroffen.

Die Vorverkaufsplattform Ticketmaster wurde gehackt. In einem Bericht an die US-Börsenaufsichtsbehörde (SEC) erklärte die Muttergesellschaft Live Nation, dass sie "unautorisierte Aktivitäten in einer Cloud-Datenbank eines Drittanbieters" festgestellt habe. Betroffen seien bis zu 560 Millionen Nutzerinnen und Nutzer.
Das Unternehmen erklärte, es habe den Angriff am 20. Mai bemerkt und eine spezialisierte Firma mit der Untersuchung beauftragt. Gemäss verschiedenen Medienberichten soll die Bande "Shinyhunters" für den Abfluss der Daten verantwortlich sein. Unter den Daten sollen sich Namen, Adressen und Kreditkarteninformationen befinden. Die Gruppe verlangte eine Lösegeldzahlung von 500'000 Dollar.
"Wir arbeiten daran, das Risiko für unsere Nutzer und das Unternehmen zu minimieren. Wir haben die Strafverfolgungsbehörden benachrichtigt und arbeiten mit ihnen zusammen", erklärte Live Nation. Der Vorfall werde "keinen wesentlichen Einfluss auf unser gesamtes Geschäft oder auf unsere finanzielle Situation haben".

Australien leitet Untersuchung ein

Die australische Regierung hatte zuvor mitgeteilt, dass sie eine Untersuchung zum Hackerangriff eingeleitet habe. Die US-Bundespolizei FBI bot ihre Hilfe an.
Die Hackergruppe Shinyhunters hatte bereits 2020 für Schlagzeilen gesorgt, als sie nach Angaben des US-Justizministeriums eine riesige Menge an Kundendaten von mehr als 60 Unternehmen ins Netz stellte. Im Januar wurde in Seattle ein französisches Mitglied der Gruppe zu drei Jahren Haft und einer Entschädigungszahlung von fünf Millionen Dollar verurteilt.
Derweil wurde bekannt, dass auch der australische Ticketanbieter Ticketek Opfer eines Cyberangriffs wurde. Das Unternehmen machte keine Angaben zum Ausmass des Datenlecks, während die australische Regierung erklärte, dass "viele" Australierinnen und Australier betroffen sein könnten.

Ticketmaster im Visier der Justiz

Ticketmaster war im Jahr 2010 von Live Nation übernommen worden. Das Mutterhaus stieg damit zu einem globalen Riesen der Konzertbranche auf. Das Unternehmen steht in den USA bereits seit Jahrzehnten wegen hoher Servicegebühren in der Kritik.
Das US-Justizministerium reichte in der vergangenen Woche eine Kartellklage gegen das Unternehmen ein, weil befürchtet wird, dass es seine markt­be­herrschende Stellung missbraucht haben soll, um die Ticketpreise nach oben zu treiben und andere Anbieter vom Markt zu verdrängen.

Weitere Firmen betroffen

Wie 'Borns IT- und Windows-Blog' berichtet, könnten die Datenlecks bei den beiden Ticketverkäufern im Zusammenhang mit einem Cyberangriff auf Snowflake stehen. So schreibt etwa Sicherheitsforscher Kevin Beaumont auf X, dass es einen "sehr grossen Cybervorfall bei Snowflake gegeben habe". Das Unternehmen betreibt eine eigene Cloud-Plattform, die von fast 10'000 Kunden genutzt wird.
Snowflake bietet zudem eine kostenlose Testversion an, bei der sich jeder anmelden und Daten hochladen kann. Gemäss dem Sicherheitsforscher haben die Cyberkriminellen das wohl auch getan. Laut Beaumont haben sie seit etwa einem Monat Kundendaten mit einem Tool namens Rapeflake abgegriffen. Demnach sollen bei Snowflake massenhaft Informationen abgeflossen sein, ohne dass dies bemerkt wurde.
Laut Beaumont könnte sich das Problem auch noch weiter ausweiten. So sollen bei Snowflake weitere Daten "von einer Reihe von Organisationen" abgezogen worden sein. Betroffen ist auch die spanische Bank Santander. Auf Breachforums bietet Shinyhunters für 2 Millionen US-Dollar ein Datenpaket an, das Daten zu 30 Millionen Kunden sowie Mitarbeitenden der Grossbank enthalten soll.
Der Sicher­heits­forscher steht derzeit mit sechs Unternehmen in Kontakt, die ebenfalls von Vorfällen im Zusammenhang mit Snowflake betroffen sind. In seinem eigenen Blog fasst er die Geschehnisse auf Englisch zusammen.

Ursache des Breach unklar

Snowflake seinerseits dementiert, dass die eigenen Produkte für die Daten­pannen verantwortlich sind. Das Unternehmen erklärte, dass es derzeit "eine Zunahme von Cyberaktivitäten" untersuche, die auf einige Kundenkonten abzielten.
Gegenüber 'The Record' räumte Snowflake zwar ein, dass mit gestohlenen Anmeldeinformationen auf ein Demokonto eines ehemaligen Mitarbeiters zugegriffen wurde, sagte aber gleichzeitig, dass dieses keine sensiblen Daten enthielt.
Das Unternehmen beteuerte zudem, dass es keine Möglichkeit gibt, auf die Anmeldedaten von Kundinnen und Kunden zuzugreifen und sie aus der Produktionsumgebung von Snowflake zu entfernen. Die Cybersecurity-Anbieter Crowdstrike und Mandiant hätten zudem festgestellt, dass es keinen Angriff auf die Plattform von Snowflake gegeben hat, schrieb uns das Unternehmen über seine PR-Agentur.
"Wir haben keine Beweise gefunden, die darauf hindeuten, dass diese Aktivität durch eine Schwachstelle, eine Fehlkonfiguration oder einen Angriff auf die Snowflake-Plattform verursacht wurde", wird Snowflake in der Stellungnahme zitiert.
"Der Zugriff war möglich, weil das Demokonto im Gegensatz zu den Unternehmens- und Produktionssystemen von Snowflake nicht hinter Okta oder Multi-Faktor-Authentifizierung (MFA) stand", schreibt das Unternehmen. Demnach haben die Bedrohungsakteure Anmeldedaten genutzt, die zuvor gekauft oder durch infostealing Malware erlangt wurden und haben damit Accounts mit Ein-Faktor-Authentifizierung angegriffen.

Daten werden auf Breachforum verkauft

Auf Breachforums werden die gestohlenen Daten zum Verkauf angeboten. Der illegale Handelsplatz wurde am 15. Mai von amerikanischen Straf­ver­folgungs­behörden geschlossen. An der damaligen Aktion war auch die Kantonspolizei Zürich beteiligt, die in der Schweiz Server beschlagnahmt hat. Kurze Zeit später war das Forum allerdings wieder online.
In einem neuen Beitrag schreibt Shinyhunters, man "habe die Dinge unter Kontrolle". Zudem wird behauptet, dass die Strafverfolgungsbehörden nur Zugriff auf eine Datenbank hatten, die von einem früheren Administrator an die Behörden übergeben wurde. Auch ihre Domain konnten die Cyber­kriminellen wiederherstellen.
(Mit Material von Keystone-sda)
Update 16.20 Uhr: Weitere Entwicklung und Stellungnahme von Snowflake ergänzt.

Loading

Mehr zum Thema

image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Kanadische Medien verklagen OpenAI

Einige der grössten kanadischen Medienhäuser ziehen vor Gericht. Sie werfen OpenAI vor, Artikel für KI-Training missbraucht zu haben und fordern Schadensersatz.

publiziert am 2.12.2024
image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024