Ein Hacker bewirbt auf einem bekannten Hackerforum mutmaßlich gestohlene Kundendaten des australischen Live-Event- und Ticketunternehmens TEG.
Am Donnerstag bot ein Hacker die angeblich gestohlenen Daten von TEG zum Verkauf an und behauptete, er verfüge über Informationen zu 30 Millionen Benutzern, darunter den vollständigen Namen, das Geschlecht, das Geburtsdatum, den Benutzernamen, gehashte Passwörter und E-Mail-Adressen.
Ende Mai kaufte das TEG-eigene Ticketunternehmen Ticketek einen Datenschutzverstoß offengelegt Dies betreffe die Daten australischer Kunden, „die auf einer Cloud-basierten Plattform gespeichert sind, die von einem renommierten, globalen Drittanbieter gehostet wird.“
Das Unternehmen erklärte, dass „kein Ticketek-Kundenkonto kompromittiert wurde“, da die Passwörter verschlüsselt gespeichert wurden. TEG räumte jedoch ein, dass „Kundennamen, Geburtsdaten und E-Mail-Adressen betroffen sein könnten“ – Daten, die mit denen übereinstimmen würden, die im Hackerforum veröffentlicht wurden.
Der Hacker hat seinem Post eine Auswahl der angeblich gestohlenen Daten beigefügt. Tech bestätigte, dass zumindest einige der im Forum veröffentlichten Daten legitim erscheinen, indem versucht wurde, sich mit den veröffentlichten E-Mail-Adressen für neue Konten anzumelden. In mehreren Fällen gab die Website von Ticketek einen Fehler aus, der darauf hindeutete, dass die E-Mail-Adressen bereits verwendet werden.
Ein Sprecher von TEG gab bis Redaktionsschluss per E-Mail keinen Kommentar ab.
Auf seiner offiziellen Website gibt Ticketek an, dass das Unternehmen „jedes Jahr über 23 Millionen Tickets für mehr als 20.000 Veranstaltungen verkauft“.
Ticketek nannte den Namen der „Cloud-basierten Plattform, die von einem renommierten, globalen Drittanbieter gehostet wird“, zwar nicht, doch es gibt Hinweise darauf, dass es sich dabei um Snowflake handeln könnte. Das Unternehmen stand im Zentrum einer jüngsten Serie von Datendiebstählen, von denen mehrere seiner Kunden betroffen waren, darunter Ticketmaster, Santander Bank und andere.
Ein inzwischen gelöschter Beitrag auf der Website von Snowflake ab Januar 2023 trug den Titel: „TEG personalisiert Live-Entertainment-Erlebnisse mit Snowflake“. Im Jahr 2022 hat das Beratungsunternehmen Altis veröffentlichte eine Fallstudie Darin wird detailliert beschrieben, wie das Unternehmen in Zusammenarbeit mit TEG „eine moderne Datenplattform für die Aufnahme von Streaming-Daten in Snowflake aufgebaut hat.“
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Vorfall oder anderen Verstößen im Zusammenhang mit Snowflake? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail erreichen. Sie können Tech auch über SecureDrop kontaktieren.
Als wir die Snowflake-Sprecherin Danica Stanczak um einen Kommentar zum Ticketek-Hack baten, beantwortete sie unsere spezifischen Fragen nicht und verwies stattdessen auf die öffentliche Stellungnahme des Unternehmens. Darin sagte Brad Jones, Chief Information Security Officer von Snowflake, dass das Unternehmen „keine Beweise dafür gefunden hat, dass diese Aktivität durch eine Schwachstelle, Fehlkonfiguration oder einen Angriff auf der Snowflake-Plattform verursacht wurde.“
Der Sprecher von Snowflake wollte weder bestätigen noch dementieren, ob TEG oder Ticketek Kunde von Snowflake ist.
Snowflake stellt Unternehmen auf der ganzen Welt Dienste zur Verfügung, die seinen Kunden dabei helfen, Daten in der Cloud zu speichern. Das zu Google gehörende Cybersicherheitsunternehmen Mandiant gab Anfang des Monats bekannt, dass Cyberkriminelle von mehreren Snowflake-Kunden eine „erhebliche Menge an Daten“ gestohlen hätten. Mandiant arbeitet mit Snowflake zusammen, um den Datendiebstahl zu untersuchen, und gab in einem Blogbeitrag bekannt, dass die beiden Unternehmen rund 165 Snowflake-Kunden benachrichtigt haben.
Snowflake hat seine Kunden für die Hackerkampagne verantwortlich gemacht, da diese keine Multi-Faktor-Authentifizierung nutzten, was es den Hackern ermöglichte, Passwörter zu verwenden, „die zuvor gekauft oder durch Infostealing-Malware erlangt worden waren“.