Die jüngste Sicherheitslücke bei Ticketmaster

Im Mai 2024 wurde bekannt, dass ein Datenleck über 560 Millionen Kunden des beliebten Ticketverkaufsunternehmens Ticketmaster betroffen hat. Während Unternehmen jeder Größe regelmäßig von Datenpannen betroffen sind, sorgte dieser Vorfall aufgrund seines Ausmaßes und des prominenten Opfers nicht nur in der Cybersicherheitsgemeinschaft, sondern auch in den allgemeinen Medien für großes Aufsehen. Doch was genau ist passiert? Lassen Sie uns den Ticketmaster-Datenvorfall von 2024 näher beleuchten.

Ticketmaster-Datenleck: Was ist passiert?

Am 27. Mai 2024 gaben Bedrohungsakteure, die Teil der ShinyHunters-Operation sind, in einem Darknet-Forum bekannt, dass sie 1,3 Terabyte Daten von Ticketmaster gestohlen haben. Diese Gruppe erlangte bereits 2020 und 2021 einen Ruf dafür, Daten von mehreren Unternehmen in großem Stil zu exfiltrieren. Die gestohlenen Informationen betrafen hauptsächlich Ticketmaster-Kunden und umfassten Namen, Adressen, E-Mails und sogar Zahlungsinformationen.

Ticketmaster ist stark auf seine digitale Infrastruktur angewiesen. Tatsächlich erfolgt der Großteil des Ticketverkaufs für Veranstaltungen, Spiele und Konzerte über Online-Kanäle wie die Ticketmaster-Website und die mobile App. Der Einstiegspunkt des Angriffs war Snowflake, ein cloudbasierter Daten- und Analysedienst eines Drittanbieters, den Ticketmaster nutzt, um Erkenntnisse aus großen Datenmengen zu gewinnen. Die Hacker verschafften sich mit gestohlenen Zugangsdaten Zugriff auf ein Konto, was dann zum Zugriff auf sensible Daten und deren Exfiltration führte.

Dies ist ein prägnantes Beispiel für die Sicherheitsrisiken von Drittanbietern und die Umstellung der Hacker von Ransomware-Installationen auf reine Erpressungsangriffe. Die ShinyHunters-Gruppe verlangte eine einmalige Gebühr von 500.000 US-Dollar von potenziellen Käufern der Daten. Es ist unklar, ob die Gruppe offen für eine Zahlung von Ticketmaster ist, um die Veröffentlichung zu verhindern.

In einer interessanten Entwicklung sprach kürzlich einer der Hacker anonym mit Wiredund erklärte, dass der Datenleck durch den Zugriff auf unverschlüsselte Benutzernamen und Passwörter für die Snowflake-Konten von Ticketmaster über einen Remote-Access-Trojaner, der auf dem Computer eines Mitarbeiters von EPAM Systems installiert war, zustande kam. EPAM Systems ist ein Unternehmen für Softwareentwicklung und digitale Dienstleistungen. Erstaunlicherweise gab der Hacker an, dass die Snowflake-Konten nicht einmal mit Multi-Faktor-Authentifizierung geschützt waren. Diese bewährte Praxis wird immer wieder ins öffentliche Bewusstsein gerückt, doch Unternehmen vernachlässigen sie weiterhin.

Es ist jedoch erwähnenswert, dass die Schuld nicht explizit bei Snowflake liegt. Während der Vorfall die Sicherheitsrisiken von Drittanbietern hervorhebt, lag das Problem darin, dass die Konten bei Drittanbieterdiensten nicht ordnungsgemäß gesichert wurden, und nicht in einem inhärenten Sicherheitsmangel von Snowflake.

Vermeidung ähnlicher Vorfälle

• Erstellung eines vollständigen Inventars aller digitalen Drittanbieter-Dienste: Führen Sie eine umfassende Inventarliste aller von Ihrem Unternehmen genutzten digitalen Dienste von Drittanbietern und verfolgen Sie die Benutzerkonten für jeden Dienst. Ohne dieses Inventar können leicht blinde Flecken unbemerkt bleiben, z. B. ehemalige Mitarbeiter, die weiterhin Zugriff auf Ihre digitale Infrastruktur haben.

• Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA): Wo immer dies möglich ist – und das ist heutzutage bei den meisten Diensten der Fall – sollten Sie die Multi-Faktor-Authentifizierung aktivieren. Dies verhindert leicht vermeidbare Fehler, die durch kompromittierte Benutzerkonten und andere Passwortangriffe entstehen können.

• Verschlüsselung sensibler Daten: Verschlüsseln Sie sensible Daten, egal wo sie gespeichert sind. Mit verschlüsselten Daten können Hacker die Informationen nicht lesen, was sie für sie praktisch nutzlos macht.

• Durchsetzung des Prinzips der minimalen Rechtevergabe: Stellen Sie sicher, dass Mitarbeiter und Systeme nur Zugriff auf die für ihre Rolle notwendigen Daten haben. Durch die Reduzierung der Zugangspunkte zu sensiblen Informationen verringert sich das Risiko unbefugter Zugriffe und potenzieller Erpressung.

• Teilnahme an branchenspezifischen Cybersicherheitsforen und Plattformen für Bedrohungsinformationen: Halten Sie sich über neue Bedrohungen, einschließlich neuer Erpressungstaktiken und Bedrohungsgruppen, auf dem Laufenden. Erwägen Sie auch die Überwachung des Dark Web auf Diskussionen unter Hackern und mögliche Erwähnungen Ihres Unternehmens oder Ihrer Mitarbeiter.

Forensische Untersuchung

In einem Bericht, der an die United States Securities and Exchange Commission (SEC) gesendet wurde, erklärte Ticketmasters Muttergesellschaft Live Nation, dass sie die Hilfe von „branchenführenden forensischen Ermittlern“ in Anspruch genommen haben, um zu verstehen, was passiert ist. IT-Forensik spielt eine entscheidende Rolle dabei, Organisationen dabei zu helfen, wie ein Datenleck entstanden ist. Durch die Untersuchung digitaler Artefakte und Systemprotokolle können Experten den Ursprung des Angriffs zurückverfolgen, sei es durch Phishing-E-Mails, Malware, kompromittierte Zugangsdaten (wie im Fall von Ticketmaster) oder Software-Schwachstellen. Das Verständnis der Angriffsquelle hilft, Sicherheitslücken zu schließen und ähnliche zukünftige Vorfälle zu verhindern.

Ebenso wichtig ist es, den Umfang und die Auswirkungen eines Vorfalls schnell zu verstehen. IT-Forensik ermöglicht es Ihnen, festzustellen, auf welche Daten Hacker zugegriffen oder welche sie gestohlen haben, einschließlich sensibler persönlicher Informationen, geistigen Eigentums oder finanzieller Daten. Diese Bewertung hilft dabei, die potenziellen Konsequenzen für Ihr Unternehmen und Ihre Kunden zu klären und den gesetzlichen und regulatorischen Meldepflichten nachzukommen.

DIESEC’s IT-Forensik-Dienst hilft nicht nur bei der Aufarbeitung eines Vorfalls. Wir gehen proaktiv mit der IT-Forensik um und helfen Ihnen, Vorfälle von vornherein zu verhindern. IT-Forensik wird oft als reaktive Maßnahme betrachtet, die nach einem Cybersecurity-Vorfall aktiviert wird. Wir untersuchen jedoch proaktiv Ihre IT-Umgebung auf Anzeichen und Spuren, die auf potenzielle Kompromittierungen von Systemen und Benutzerkonten hinweisen.

Kontaktieren Sie uns noch heute, um mehr zu erfahren.