En un acontecimiento que podría convertirse en uno de los mayores hackeos del año, Live Nation, propietaria de Ticketmaster, y el banco Santander confirmaron violaciones de datos masivas. Los hackers afirman poseer 500 millones de registros de clientes de Ticketmaster y millones de datos de Santander.
El incidente parece estar relacionado con ataques a cuentas de clientes en la plataforma de alojamiento en la nube Snowflake, utilizada por miles de empresas, incluyendo Adobe, Canva y Mastercard. Los expertos advierten que a medida que se revelen más detalles, es probable que otras compañías también reporten robos de datos.
Snowflake reconoció un aumento en la actividad de amenazas cibernéticas dirigidas a algunas cuentas de clientes, con un número limitado de cuentas comprometidas debido a credenciales de inicio de sesión robadas. Sin embargo, la empresa niega ser la fuente de las credenciales filtradas y asegura no haber encontrado evidencia de vulnerabilidades en su sistema.
A pesar de la falta de claridad sobre el alcance del ataque, el Centro de Seguridad Cibernética de Australia emitió una alerta "alta" instando a las empresas que utilizan Snowflake a tomar medidas de precaución.
Los detalles de las violaciones comenzaron a surgir el 27 de mayo, cuando un hacker anunció la venta de 1,3 TB de datos de Ticketmaster. Un día después, el grupo de piratería ShinyHunters publicó el mismo anuncio. Posteriormente, también afirmaron poseer 30 millones de datos de clientes de Santander.
La empresa de seguridad Hudson Rock vinculó los ataques a Snowflake, revelando conversaciones con el presunto hacker, quien afirmó haber intentado vender los datos a Snowflake por 20 millones de dólares.
¿Cómo se originó el ataque?
Mandiant, propiedad de Google, sugiere que se pudo haber utilizado malware para robar información y obtener credenciales de cuentas de Snowflake. Ticketmaster confirmó que su base de datos robada estaba alojada en Snowflake, mientras que Santander reconoció un acceso no autorizado a una de sus bases de datos alojada por un proveedor externo.
Snowflake reconoció el incidente y afirmó haber detectado actividad sospechosa desde mediados de abril. La empresa notificó a todos sus clientes y los instó a revisar la configuración de sus cuentas y activar la autenticación multifactor.
La empresa de seguridad Mitiga informó que un actor de amenazas ha estado atacando organizaciones que utilizan bases de datos Snowflake, utilizando una herramienta llamada "rapeflake". Un posible escenario es que el actor de amenazas obtuvo información sobre los sistemas de Snowflake y luego robó información de sus clientes.
Aunque aún se desconoce el alcance total del ataque, ya hay indicios de que otras empresas podrían verse afectadas. Algunas empresas ya han buscado ayuda, y el investigador de ciberseguridad Kevin Beaumont afirma conocer seis empresas afectadas.
La situación sigue siendo confusa y en desarrollo, pero está claro que este podría ser uno de los mayores hackeos del año, con implicaciones significativas para la seguridad de datos de millones de personas y empresas.