Ticketmaster がデータ侵害通知書を提出:さらに広がる Snowflake インシデント

Ticketmaster sends notifications about recent massive data breach

2024/06/28 BleepingComputer — Ticketmaster が開始した通知は、数百万人分のデータを取り込んだ同社の Snowflake データベースから、ハッカーが盗み出しデータにより影響を受けた、顧客に対するものである。メイン州司法長官事務所に提出された、Ticketmaster からのデータ侵害通知書には、「先日に、サードパーティであるデータサービス・プロバイダーがホストするクラウド・データベースから、権限のない第三者が情報を窃取したことを発見した」と、記されている。


この通知書には、「調査の結果、不正行為は 2024年4月2日〜5月18日に発生したと判断している。2024年5月23日に、個人情報の一部がインシデントの影響を受けた可能性があると判断した。調査を開始して以来、クラウド・データベースにおいて、その他の不正行為は確認されていない」とも書き加えられている。

Ticketmaster によると、今回の情報流出により流出したユーザー情報には、氏名/連絡先/固有データなどが含まれるという。

同社が顧客に推奨するのは、個人情報の盗難や詐欺に警戒し続けることであり、信用履歴を追跡するための、1年間の無料 ID 監視サービスを提供している。

Ticketmaster は、今回の情報流出が 1000人以上 (“>1000”) に影響を与えた、いい加減なことを言っているが、実際には世界中の数百万人の顧客に影響を与え、多くの人々にとって機密性の高い情報が流出している。

Ticketmaster における Snowflake データ窃取攻撃

先月に ShinyHunters と呼ばれる脅威アクターが、Live Nation/Ticketmaster から盗み出したとするデータの販売を開始し、そこには 5億6,000万人のユーザーの、個人情報とクレジットカード情報が含まれていると主張した。

この脅威アクターは、多要素認証が有効化されていない Ticketmaster の認証情報を悪用して、Snowflake アカウントからデータを盗み出した。

Snowflake はクラウドベースのデータウェアハウスであり、データベースの保存/データの処理と分析のために、多くのエンタープライズに利用されている。

そして 5月28日に ShinyHunters は、有名なハッキング・フォーラムで、それらのデータを $500,000 で販売し始めた。この脅威アクターの主張は、5億6,000万人分の顧客情報を取り込んだ 1.3TB のデータを販売するが、そこに含まれるものには、チケット購入/イベント参加などの履歴に加えて、クレジットカード情報もあるというものだ。

Ticketmaster data sold on a hacking forum
Ticketmaster data sold on a hacking forum
Source: BleepingComputer

BleepingComputer が確認したデータのサンプルには、フルネーム/電子メールアドレス/電話番号/住所/ハッシュ化されたクレジットカードの詳細/支払い履歴などの情報が含まれていた。つまり、基本的な連絡先情報を超えるものである。

数日間にわたり沈黙を守っていた Ticketmaster は、5月31日 (金) の夕方に、SEC への提出書類において、この情報漏洩を認めている

Ticketmaster における の情報漏洩は、Snowflake データベース・プラットフォームに関連する、最近に多発しているデータ盗難攻撃のひとつである。

SnowFlake/Mandiant/CrowdStrike の三者は共同調査により、UNC5537 として追跡されている脅威アクターが、漏洩した顧客認証情報を悪用して、少なくとも 165 の組織を標的としていたことを明らかにした。それらの組織は、それぞれのアカウントにおいて、多要素認証保護を設定していなかったという。

この脅威アクターは、Snowflake アカウントを侵害するために、情報窃取マルウェア感染により、2020年ころから窃取されてきた、認証情報を使用していた。

これらの攻撃で侵害された被害者には、Neiman MarcusSantanderTicketmasterQuoteWizard/LendingTreeAdvance Auto PartsLos Angeles UnifiedPure Storage などが含まれる。

Ticketmaster に関しては、だいぶ前から Snowflake 侵害リストに入っていましたが、メイン州司法長官事務所への提出書類により、そのデータ侵害の内容が明らかになったようです。それまでの情報開示については、文中で手厳しく批判されています。透明性への怠慢が原因かと思われます。よろしければ、以下のリストを、ご参照ください。

2024/06/25:Neiman Marcus 侵害:Snowflake ハッキングで情報漏えい2024/06/22:MFA だけではクラウド・データ保護は無理:Snowflake の教訓
2024/06/21:Santander 報告:情報漏えいと Snowflake の関係は?
2024/06/14:Snowflake 侵害をトリアージ:YetiHunter ハンティング・ツール
2024/06/13:Truist Bank から盗まれたデータが $1 M で販売されている
2024/06/10:BlackBerry Cylance のデータがダークウェブで販売されている
2024/06/01:Apache Log4J2 脆弱性の悪用:Sisense/Snowflake への侵害
2024/05/31:Snowflake のデータ侵害:Santander/Ticketmaster