In einer Reihe jüngster Cyberangriffe sind sensible Kundendaten von Ticketmaster und der internationalen Bank Santander gestohlen worden. Die Sicherheitsexperten von Hudson Rock vermuten, dass die Datenlecks auf eine Kompromittierung des Cloud-Datenanbieters Snowflake zurückzuführen sind. Snowflake selbst bestreitet jedoch jegliche Sicherheitsmängel auf ihrer Seite, hat aber im Zuge der Ermittlungen eine Anleitung veröffentlicht, mit der die Indicators of Compromise (IoC) festgestellt werden können. Dazu gehören Abfragen zur Identifizierung verdächtiger Aktivitäten und Anweisungen zur Deaktivierung verdächtiger Benutzerkonten. Snowflake empfiehlt zudem, Netzwerkrichtlinien zu implementieren und statische Anmeldeinformationen durch sicherere Methoden wie Key Pair-Authentifizierung oder OAuth zu ersetzen.
Diese Woche wurden auf einem Untergrundforum 1,3 TB Daten von Ticketmaster zum Verkauf angeboten. Der Datensatz, der für 500.000 US-Dollar erhältlich ist, enthält Informationen über 560 Millionen Kunden, darunter Namen, E-Mail-Adressen, Telefonnummern, physische Adressen, Transaktionsdetails und teilweise Zahlungsinformationen. Ticketmaster, dessen Muttergesellschaft Live Nation die Verletzung bestätigt hat, erklärte, dass unbefugte Aktivitäten in einer Cloud-Datenbank eines Drittanbieters festgestellt wurden. Mehr Details dazu finden Sie in unserem Artikel zum Vorfall.
Ähnlich betroffen ist die Bank Santander, die bestätigte, dass ein Sicherheitsvorfall 30 Millionen Kontoinhaber sowie interne HR-Daten betroffen hat. Diese Informationen werden derzeit für 2 Millionen US-Dollar zum Verkauf angeboten. Die betroffenen Kunden stammen aus den Märkten in Chile, Spanien und Uruguay. Auch hier hat Santander die betroffenen Kunden und Mitarbeiter informiert und arbeitet eng mit den Behörden zusammen.
Laut Hudson Rock wurden die Daten durch eine Kompromittierung eines Snowflake-Mitarbeiterkontos gestohlen. Angeblich nutzten die Angreifer Zugangsdaten, die durch die Malware Lumma erlangt wurden, um sich in das ServiceNow-Konto des Mitarbeiters einzuloggen und Session-Tokens zu generieren, die den Zugriff auf Kundendaten ermöglichten. Diese Angriffe sollen bis zu 400 Kunden von Snowflake betroffen haben und könnten einer der größten Datenlecks bis dato sein.
Snowflake hingegen bestreitet, dass die Sicherheitsvorfälle durch eine Schwachstelle oder Fehlkonfiguration ihres Systems verursacht wurden. Das Unternehmen erklärte, dass die Angriffe durch gestohlene Zugangsdaten der Kunden erfolgten, die durch andere Cyber-Bedrohungen kompromittiert wurden. In einer Stellungnahme betonte Snowflake, dass es keine Hinweise darauf gibt, dass die Sicherheitslücke aus ihrem System stammt und dass betroffene Kunden informiert wurden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: