L'attacco cibernetico a Ticketmaster

In queste ore potrebbe essere in corso uno dei cyberattacchi peggiori dell'anno. Questo venerdì, Live Nation, l'azienda dietro Ticketmaster, ha confermato di aver subito violazioni dati dopo che alcuni cybercriminali hanno dichiarato online di avere a disposizione oltre mezzo miliardo di dossier clienti. Anche Santander, il gigante bancario, ha confermato che milioni di dati di clienti e dipendenti sono stati compromessi dallo stesso gruppo di hacker. I dettagli esatti di queste violazioni, tra cui quali informazioni sono state rubate e come, restano vaghi. Gli incidenti sembrano essere collegati ad attacchi mirati a conti aziendali ospitati da Snowflake, un cloud provider americano che annovera tra i suoi clienti Adobe, Canva e Mastercard, i quali vi memorizzano e analizzano grandi quantità di dati. Gli esperti di sicurezza stimano che altre aziende potrebbero presto rivelare violazioni simili, ma attualmente la situazione rimane confusa. «Snowflake ha recentemente osservato e sta indagando su un aumento delle attività di minaccia informatica mirate a determinati account dei nostri clienti», ha scritto Brad Jones, responsabile della sicurezza delle informazioni di Snowflake, in un post sul blog.

I primi segni di queste violazioni sono emersi il 27 maggio, quando un account sul forum cybercriminale Exploit ha annunciato la vendita di 1,3 To di dati Ticketmaster, comprendenti informazioni su più di 560 milioni di persone, per 500mila dollari. Il gruppo ShinyHunters, noto per furti online dal 2020, ha poi pubblicato lo stesso annuncio su BreachForums, un forum recentemente rilanciato dopo la sua chiusura da parte dell'FBI. Il 30 maggio, ShinyHunters ha affermato di aver venduto dati di 30 milioni di clienti e dipendenti di Santander per 2 milioni di dollari, annunci che hanno riacceso l'interesse sul mercato illegale. I due pirataggi sono stati collegati a Snowflake dalla società di sicurezza Hudson Rock, che ha pubblicato e poi rimosso conversazioni con l'hacker che affermava di aver avuto accesso ai sistemi di Snowflake e di aver tentato di rivendere i dati per 20 milioni di dollari. Hudson Rock ha suggerito che un dipendente di Snowflake potrebbe essere stato infettato da un malware ladro di informazioni. Charles Carmakal di Mandiant, una società di sicurezza appartenente a Google, ha anche indicato che potrebbero essere coinvolti dei malware, ladri di informazioni. Ticketmaster ha confermato che la sua base di dati rubata era ospitata su Snowflake in un documento presso la SEC, mentre Santander aveva precedentemente menzionato un accesso non autorizzato a una base di dati « ospitata da un fornitore terzo », senza nominare quest'ultimo. Tra le autorità che hanno messo in guardia contro il potenziale impatto di questi attacchi c'è il Centro di cybersicurezza australiano, che ha emesso un'allerta « elevata », sottolineando le compromissioni di diverse aziende che utilizzano gli ambienti Snowflake e consigliando di reimpostare gli identificativi di account, di attivare l'autenticazione multifattore e di monitorare l'attività degli utenti. « Sembra che Snowflake abbia subito un compromesso di sicurezza piuttosto grave », ha dichiarato a WIRED il ricercatore di sicurezza Troy Hunt, del famoso sito web di notifica di violazioni dei dati  Have I Been Pwned.

La società di sicurezza Mitiga ha rivelato che un attore minaccioso utilizzava uno strumento di attacco chiamato rapeflake contro basi di dati Snowflake. Roei Sherman, direttore tecnico di campo di Mitiga, indica che si sa poco su questo strumento, ma che l'attacco potrebbe avere ripercussioni più ampie in futuro. Diverse aziende colpite hanno chiesto l'aiuto di Mitiga, e Mandiant ha assistito alcuni clienti di Snowflake. Spiega, «Non abbiamo ancora visto l'intero raggio dell'esplosione, Snowflake conta migliaia di clienti e alcuni dei loro clienti sono grandi aziende. Speriamo di sapere di più su altre aziende compromesse».