Sicherheitsleck bei Snowflake: Ist der Ticketmaster-Hack nur die Spitze des Eisbergs?
3-6-2024
War Ticketmaster gar nicht das einzige Opfer des ShinyHunter-Hacks? Experten vermuten, dass sie die Daten durch einen Hack des Cloud-Anbieter Snowflake erbeuten konnten. Rund 10’000 Firmen sind Kunden bei dem Unternehmen.
Update vom 4.6.2024: Vorwürfe gegen Snowflake entkräftet
Die beiden Sicherheitsunternehmen CroudStrike und Mandiant, haben den Sicherheitsvorfall bei SnowFlake ebenfalls untersucht. Beide Firmen schlossen ihren Bericht mit der Erkenntnis, dass die Hacks bei Ticketmaster und der Bank Santander nicht mit den Geschehnissen bei Snowflake in Verbindung gebracht werden können. Damit stärken sie das Statement von Snowflake selbst, die einen Zusammenhang bereits vorher ausschlossen.
Die Sicherheitsexperten der Firma Hudson Rock, welche diese Vermutung in den Raum stellten (und auf deren Aussage auch Kevin Beaumonts Blogbeitrag beruht, wurde mittlerweile offline genommen. Auf LinkedIn hat HudsonRock dies offiziell bestätigt.
Nach wie vor ist aber klar, dass es auch bei SnowFlake Sicherheitsvorfälle gab. Der Cloud-Anbieter spricht in diesem Zusammenhang von einer «gezielten Kampagne, die sich auf Konten ohne Multifaktor-Authentifizierung» konzentriert. Es ist also nach wie vor nicht klar, wie sich die Gruppe ShinyHunters Zugang zu den Daten von Ticketmaster und Santander verschaffen konnte.
Originalmeldung
Letzte Woche wurde bekannt, dass das Hackerkollektiv ShinyHunters beim Ticketanbieter Ticketmaster eingedrungen ist und Daten von über 500 Millionen Kunden erbeutet hat.
Nachdem das Techportal Heise einige Datensätze aus dem Sample als echt klassifiziert hat, bestätigte Ticketmaster das Datenleck schliesslich.
Weitere Firmen betroffen?
Nun scheint sich der Vorfall allerdings auszuweiten. Der Sicherheitsforscher Kevin Beaumont hat auf seinem Blog geschrieben, dass es einen weiteren, sehr viel weitreichenden Sicherheitsvorfall gegeben habe. Opfer sei der Cloud-Anbieter Snowflake. Das Unternehmen zählt rund 10’000 Firmen zu seiner Kundschaft.
Darunter befindet sich neben Ticketmaster auch die Bank Santander. Dieser sind ebenfalls rund 30 Millionen Datensätze mit teilweise heiklen Kunden- und Mitarbeiterdaten gestohlen und jetzt für zwei Millionen US-Dollar zum Rückkauf angeboten worden. Aber auch Firmen wie HP, Novartis, Siemens oder Mastercard gehören zum Kundenkreis von Snowflake.
Quelle: Florian Bodoky
In einem weiteren Blogbeitrag schreibt Beaumont, dass er sich derzeit mit sechs weiteren Kunden Snowflakes in Kontakt befinde. Diese seien alle von den Sicherheitsvorkommnissen bei Snowflake betroffen und hätten Datendiebstahl zu beklagen.
Seiner Ansicht nach bestehe also durchaus die Möglichkeit, dass der Datenabfluss bei Ticketmaster, der Bank Santander und den anderen Unternehmen letztlich auf einen Cyberangriff auf Snowflake zurückzuführen sei. Die Gruppe ShinyHunters habe sich die Zugriffsrechte mit einem Tool namens Rapeflake verschafft.
Der Cloud-Anbieter seinerseits gibt zwar zu, dass Fremdzugriffe erfolgt seien. Allerdings habe sich dies auf ein Demokonto eines ehemaligen Mitarbeiters beschränkt. Es sei deshalb nicht möglich, dass Anmeldedaten ihrer Kundschaft entwendet worden seien. Die nähere Zukunft wird zeigen, ob und welche Unternehmen von Erpressungen betroffen sind und in wie fern man daraus Schlüsse auf Snowflake ziehen kann.
Titelbild: Shutterstock
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.