Brèches chez Ticketmaster et Santander : un compte Snowflake compromis par infostealer
Des données de centaines de milliers de clients de Ticketmaster compromises. Celles de millions de clients de Santander également. Le point commun : la plateforme cloud de gestion de données Snowflake. L’origine ? Des identifiants compromis par un infostealer.
Impossible de passer à côté de l’information, en fin de semaine dernière : des données de plusieurs centaines de milliers de clients de Ticketmaster auraient été mises en vente par un cybercriminel. Le même assurerait disposer de données relatives à quelques dizaines de millions de clients de Santander.
La maison mère de Ticketmaster, Live Nation, a reconnu, dans une déclaration au gendarme des marchés boursiers américains, avoir identifié, le 20 mai, des activités non autorisées au sein d’un environnement de base de données en mode cloud d’un fournisseur tiers.
Le 27 mai, une mise en vente de données qui seraient issues de cette brèche était annoncée par ShinyHunters. Lequel a revendiqué, quatre jours plus tard, la compromission de données de 30 millions de clients de Santander.
Dans un échange avec les équipes de Hudson Rock, l’acteur malveillant ayant initialement revendiqué un vol de données de clients de Santander a indiqué avoir réussi à détourner le compte ServiceNow d’un employé de Snowflake, à l’aide d’identifiants compromis. Selon l’assaillant, 400 entreprises pourraient avoir été concernées. Il aurait essayé de soutirer 20 millions de dollars à Snowflake.
Les équipes de Hudson Rock ont retrouvé la compromission d’un poste de travail utilisé par un collaborateur de Snowflake le 5 octobre dernier, un infostealer de la famille Lumma.
De son côté, Snowflake a mené l’enquête avec l’aide de CrowdStrike et de Mandiant. Au 31 mai, l’enquête n’a pas fait émerger d’éléments suggérant une vulnérabilité ou un défaut de configuration de ses plateformes.
Néanmoins, peut-on lire, « nous avons trouvé des preuves qu’un acteur menaçant a obtenu des informations d’identification personnelles et accédé à des comptes de démonstration appartenant à un ancien employé de Snowflake ».
Selon Snowflake, « ces comptes ne contenaient pas de données sensibles. Les comptes de démonstration ne sont pas connectés aux systèmes de production ou d’entreprise de Snowflake ».
Et si un tiers non autorisé a toutefois pu y accéder, c’est « parce que le compte de démonstration n’était pas derrière Okta ou l’authentification multifactorielle (MFA), contrairement aux systèmes de production et d’entreprise de Snowflake ».