Hackers revelaron cómo fue la estrategia para infiltrarse en Ticketmaster a través de terceros

La falta de autenticación multifactor permitió que los ciberdelincuentes usaran credenciales de foros en línea para acceder a múltiples cuentas, según investigadores

Guardar
Ticketmaster y Santander recibieron el
Ticketmaster y Santander recibieron el peor impacto del hackeo que comprometió 165 cuentas de Snowflake. (Reuters/Dado Ruvic)

Ticketmaster y varios clientes del proveedor de almacenamiento en la nube Snowflake fueron blancos de una campaña de hacking que comprometió aproximadamente 165 cuentas de clientes. Un hacker del grupo ShinyHunters reveló a WIRED que accedieron a estas cuentas al vulnerar primero a un contratista bielorruso que trabajaba con los clientes afectados.

Snowflake, firma de seguridad propiedad de Google, no detalló cómo los hackers ingresaron a las cuentas y se limitó a decir que los intrusos no accedieron directamente a su red. Sin embargo, la firma de seguridad Mandiant, contratada para investigar el caso, reveló que los atacantes obtuvieron acceso mediante terceros, sin especificar quiénes eran estos contratistas.

Un hacker, cuya identidad no fue revelada, dijo a WIRED que uno de estos contratistas era EPAM Systems, cuya fundación data de 1993 por el bielorruso Arkadiy Dobkin. EPAM refutó cualquier implicación en los hechos. La empresa, que proporciona servicios de ingeniería de software y gestiona cuentas de Snowflake para sus clientes, asegura no haber encontrado evidencias de su participación tras investigar el asunto, comunicó a WIRED.

Mandiant descubrió que los atacantes
Mandiant descubrió que los atacantes accedieron por medio de terceros. (Archivo)

EPAM cuenta con aproximadamente 300 empleados experimentados en utilizar las herramientas analíticas de Snowflake y desde 2022 es un “socio de élite” de esta compañía. Según WIRED, un trabajador de EPAM en Ucrania fue relacionado con un malware que robó información a través de un ataque de Spear-phishing. ShinyHunters aprovechó las credenciales sin cifrar encontradas en la computadora del empleado para acceder a las cuentas de Snowflake, incluida la de Ticketmaster.

El colosal robo también afectó al banco Santander, que confirmó el hecho sin revelar la cuenta comprometida; WIRED verificó que era una cuenta de Snowflake. Los datos robados incluyen información bancaria y de recursos humanos sobre personal y clientes. Lending Tree y Advance Auto Parts también podrían haber sido víctimas, aunque no lo han confirmado.

A través del análisis de un investigador independiente, apodado Reddington, se descubrió un repositorio de datos robados por diferentes malware en máquinas de empleados de EPAM. Este incluye el historial del navegador del trabajador comprometido, el cual muestra nombres completos y URL internas de EPAM apuntando a cuenta Snowflake de Ticketmaster.

Un empleado de EPAM en
Un empleado de EPAM en Ucrania fue vinculado a las credenciales robadas. (Imagen ilustrativa Infobae)

Mandiant también señaló que la gran mayoría de las credenciales usadas en estos ataques pertenecían a datos robados previamente y disponibles en foros de hackers.

Los hackers emplearon programas informáticos maliciosos de 2020 para acceder a estas cuentas, destacándose la falta de autenticación multifactor (MFA) como factor crítico para los robos. El Director de Seguridad de información (CISO) de Snowflake, Brad Jones, señaló que la compañía está trabajando en la implementación de medidas obligatorias de autenticación multifactor.

La empresa EPAM niega su implicación en las brechas y afirma mantener altos estándares de seguridad. Sin embargo, la evidencia recopilada por WIRED, incluyendo credenciales sin cifrar y URL internas, sugiere que las políticas de seguridad y manejo de datos confidenciales podrían tener complicaciones preocupantes.

Snowflake es una firma que ofrece almacenamiento y análisis de datos, destacándose por su capacidad de proporcionar herramientas de inteligencia para empresas. Tanto WIRED como Mandiant coinciden en que el robo de credenciales y la falta de MFA hicieron posible estos ataques cibernéticos.

Guardar