¿Problemas de seguridad en cuentas empresariales, extorsión y hackeos? Sí, en este mes de junio se registró una filtración de datos de TicketMaster, Santander Bank y otras empresas a través de la plataforma de almacenamiento en la nube Snowflakes.
La violación masiva compromete a más 560 millones de usuarios por la exposición de sus datos sensibles. ¿Resultado? Una extorsión y la venta de información en la dark web. Este es uno de los ciberdelitos que han generado más polémica y un cuestionamiento acerca de la seguridad que poseen estas grandes corporaciones.
¿De qué trata la filtración de datos en TicketMaster y Snowflakes?
Una de 165 violaciones*, así lo determinó la empresa de Google, Mandiant; esto al analizar el caso de la filtración de datos de TicketMaster ocurrida por medio de la nube Snowflakes. Encontró una vulneración masiva de datos en esta compañía y en la entidad Santander Bank.
Tanto Ticketmaster como Snowflakes han confirmado el hecho y están trabajando en la investigación pertinente. Haciéndolo con ayuda de la mencionada Mandiant y CrowdStrike, dos empresas especialistas en ciberseguridad. También, notificaron a las autoridades de la enorme violación de la que han sido objeto.De hecho, el pasado 10 de junio la empresa Mandiant anunció que había encontrado importantes evidencias. Sus pesquisas los llevaron hasta una operación de amenaza denominada UNC5537. En esta se emplearon diferentes protocolos informáticos y utilidades para ejecutar las infiltraciones.
Con la campaña se extraería la información para luego extorsionar a los propietarios, exigiendo desde miles de dólares hasta cinco millones. Bajo amenaza de la venta y posterior publicación en sitios dentro de la web oscura. No obstante, Snowflakes hizo caso omiso a esta amenaza.
No es la primera vez que el actor responsable realiza un gran hackeo como la filtración de datos de TicketMaster. Estos han robado a otras empresas*, por medio de canales de Telegram y foros de piratería en el ciberespacio. Los investigadores encontraron evidencias de operadores en América del Norte y Turquía que trabajan con los supuestos responsables.
Modus Operandi
La operación UNC5537 empleó credenciales de inicio robadas a clientes de Snowflakes a través de foros y valiéndose de diversos malwares. También de información extraída y expuesta hace varios años con un info-stealers. Esto en un 80% de los usuarios que fueron víctimas de la vulneración.
Los ciberdelincuentes ingresaron sin autorización, para luego trabajar con unas utilidades denominadas FROSTBITE y DBeaver Ultimate. Con estas, pudieron recopilar información diversa para, finalmente, extraer y organizar los datos empleando comandos. Todo, valiéndose de una vulnerabilidad del sistema, ya que algunos subcontratistas empresariales emplean equipos no supervisados para conectarse.
De acuerdo a Mandiant, la situación actual habría comenzado el pasado mes de abril. Luego, el 31 de mayo Live Nation, afiliado de Ticketmaster, reveló por medio de un reporte a la Comisión de Bolsa y Valores (SEC), que había sido objeto de un robo de datos. Pero no indicó detalles, ni la cantidad de clientes afectados.
Días después, la información extraída sería puesta a la venta en la web oscura. De acuerdo a lo argumentado en su informe, la vulneración sucedió originalmente el día 20 de mayo.
Un grupo se atribuye el robo de datos de Ticketmaster
El grupo de hackers llamado ShinyHunters* se ha atribuido la filtración de datos de TicketMaster. Aunque hasta los momentos no está claro si realmente cometió la violación o solo compró el acceso infectado con el que se ejecutó este delito.
Uno de los hackers de ShinyHunters contó al portal WIRED que, efectivamente, ellos eran los responsables. Explicando que violaron primero a un proveedor externo de Snowflakes originario de Bielorrusia, cuyo nombre es EPAM Systems. Desde allí, usaron los datos para ingresar a las cuentas de la propia empresa.
El hacker menciona que accedieron a través de la computadora de un empleado de EPAM Systems. La misma, fue infectada con un malware info-stealer, el cual permite el robo de credenciales usando un spear-phishing o ingreso por email personalizado. De esta forma, encontraron usuarios y contraseñas que no estaban cifradas. Estas se usaban para administrar cuentas de Snowflakes, incluyendo las de Ticketmaster, las cuales no tenían autenticación multifactorial o MFA.
Así mismo, indicó que usaron datos de credenciales antiguas, obtenidas en violaciones donde los hackers también implantaron un malware info-stealer. La empresa EPAM System niega esto de forma tajante, desvinculando su responsabilidad de la filtración de datos de TicketMaster.
Uno de sus voceros señaló que estos grupos difunden información falsa y de esta manera generan desinformación. También, indicó que hasta los momentos no han encontrado pruebas que vinculen a la empresa con este ataque.
Es importante acotar que se han registrado robos de credenciales en otras empresas por parte del grupo ShinyHunters desde el 2020. Lo cual, indica que la organización está enfocada en el mercado de plataformas Saas que se dedican al almacenamiento de datos. También, existen varias pruebas de fusiones o colaboraciones entre otros grupos criminales que se dedican a los ciberdelitos. Un indicativo de que el robo de datos crece cada día, convirtiéndose en una amenaza latente para las medianas y grandes empresas.
Las compañías afectadas y sus consecuencias
Snowflakes no ha dado detalles específicos, pero sus declaraciones son categóricas, la plataforma no tiene responsabilidad* en la filtración de datos de TicketMaster.
Aluden que los sistemas vulnerados no son directamente propiedad de la empresa; agregaron que algunas credenciales eran del 2020 y se usaron para extraer datos desde clientes externos o subcontratistas. No obstante, Brad Jones, quien es el director de Sistemas de Información de Snowflake, reconoció algunos fallos. Como la carencia de autenticación multifactorial, identificando este hecho como una de las causas que permitió la vulneración a través de terceros.
560 millones de usuarios de Ticketmaster podrían enfrentarse a la amenaza de que sus datos circulen por la web oscura y sean vendidos. Con todas las consecuencias que un hecho como este implica.
La organización ShinyHunters posee 1,3 Terabytes de información que han colocado al mejor postor en foros de piratería. Comprendiendo nombres, direcciones completas, números de teléfono, detalles de compras de boletería y eventos, fechas de vencimiento de tarjetas de crédito, entre otros datos.
Otras empresas vulneradas
Además de la filtración de datos de TicketMaster, también la entidad bancaria Santander Bank fue afectada por este robo masivo. Específicamente, a través de la información de 30 millones de clientes. Implicando esto, saldos, números de cuentas y tarjetas, información del personal, entre otras informaciones altamente sensibles.
Igualmente, las compañías Lending Tree, Iberdrola y Advance Auto Parts han anunciado que también podrían haber sido víctimas de este robo masivo.
Mandiant y CrowdStrike alegan que una de las razones de la filtración de datos de TicketMaster y otras empresas, está relacionado con prácticas de seguridad deficientes por parte de los usuarios. Como la desactualización de las credenciales de inicio, la ausencia de identificación multifactorial o listas de permitidos en la red.
Las credenciales antiguas pueden permanecer vigentes por años si no se modifican. Un criminal puede identificar a estos usuarios a través de la dirección de correo que emplean al iniciar una sesión. Sobre todo, cuando son usadas en varias cuentas y no se modifica la contraseña.
De hecho, pronostican que la lista de datos y clientes vulnerados podría seguir creciendo en un futuro, haciéndose extensivos los ataques a otras empresas.
Evitar el robo de datos en empresas
La plataforma Snowflakes menciona estar trabajando en la optimización de las medidas de seguridad y en mitigar riesgos para los usuarios. Brad Jones explicó que se adoptará el uso de MFA como medida por defecto para todos los clientes, y que los usuarios deben exigirlo.
Esto con el fin de evitar futuras infiltraciones a través de los proveedores de la plataforma y de los propios clientes. Ya que, como se ha determinado hasta ahora en la investigación, la vulneración viene desde un agente externo por la presencia de malas políticas de seguridad.
¿Qué pueden hacer los afectados?
La filtración de datos de TicketMaster indica que existen cientos de datos personales circulando online. ¿Cómo afecta esto a los usuarios? ¿Qué sucede si se adquirió un boleto para un concierto o evento a través de esta empresa?
Un usuario de Ticketmaster podría preguntarse qué situación enfrenta si su información personal se encuentra dentro de la data robada. Ante ese escenario, debe mantenerse la calma y tomar todas las precauciones posibles.
Algunas recomendaciones que mencionan los expertos son revisar las cuentas para detectar algún movimiento sospechoso. Es importante cambiar las contraseñas en todas las plataformas empleadas y procurar que las nuevas sean seguras. Una buena idea es usar softwares de administración de cuentas.
También, es recomendable estar atento ante amenazas de phishing que vienen en email y mensajes fraudulentos. Por lo que no debe hacerse clic en links, ni responder a emails que provengan de fuentes no conocidas. Es importante tener activada la autenticación de dos pasos en todas las plataformas.
Revisar las cuentas de Ticketmaster es algo importante para todos los que hayan adquirido un boleto recientemente. Esto, con el fin de identificar notificaciones o trasferencias que no se han autorizado.
La filtración de datos de TicketMaster no es solo la más nueva, sino que se ha denominado como la más grande de la que se tenga conocimiento hasta ahora. Este hecho no debe tomarse a la ligera, ya que, según los expertos, seguirá presentándose con regularidad, por lo que es importante estar protegido.
En Morgan & Morgan te mantenemos informado y en caso de ver tus derechos vulnerados, sabes que siempre cuentas con nosotros. Es tan fácil como completar el formulario gratuito en línea o llamando a nuestras oficinas. Recuerda que con Morgan & Morgan no pagas si no ganas.
La justicia es derecho de todos.
*Enlaces disponibles en inglés.