In una campagna di estorsione contro Ticketmaster, parte di un cyber attacco contro la supply chain, gli hacker, autori dell’intrusione, hanno fatto trapelare quasi 39.000 biglietti fisici “stampati in casa” per 150 prossimi concerti ed eventi, tra cui Taylor Swift, Pearl Jam, Phish, Tate McCrae e Foo Fighters.
I biglietti – che essendo cartacei non sono protetti dalla tecnologia digitale antifrode – sono stati diffusi da un attore delle minacce noto come Sp1derHunters, che sta vendendo i dati rubati nei recenti attacchi di furto di dati dagli account Snowflake.
Ma l’intrusione è molto più grave di quanto si pensi. Infatti, ha causato la violazione dei dati personali (nomi, numeri di telefono, dettagli di pagamento parziali, vendite di biglietti) di oltre 560 milioni di clienti del sito Ticketmaster.
“L’attacco informatico potrebbe avere un impatto devastante sull’azienda TicketMaster, che ricordiamo ad oggi non ha ancora confermato il furto di biglietti validi”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “il danno immediato sulle operazioni dell’azienda e sulla gestione degli eventi in programma potrebbe essere importante”.
“Ticketmaster ha confermato l’incidente sul suo sito, cercando peraltro di tranquillizzare i suoi clienti”, aggiunge Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Hanno comunicato che l’incidente ha coinvolto un database cloud isolato ospitato da un fornitore di servizi cloud (Snowflake, utilizzato da molte grandi aziende per archiviare i dati nel cloud), ma – hanno dichiarato – non ha compromesso gli account Ticketmaster dei clienti“.
Indice degli argomenti
Attacco contro Ticketmaster: rubati i biglietti dei concerti
Ad aprile, gli attori delle minacce hanno iniziato a scaricare i database Snowflake di almeno 165 organizzazioni utilizzando le credenziali rubate da un malware di tipo info-stealer.
Lo scorso maggio, un attore malevolo noto come ShinyHunters aveva iniziato a vendere i presunti dati di 560 milioni di clienti di Ticketmaster, additando Snowflake come l’oggetto del furto. Ticketmaster ha poi confermato che i dati erano stati rubati dal loro account proprio da Snowflake, dunque si tratta di un attacco alla supply chain.
Allora gli attori delle minacce avevano tentato l’estorsione, chiedendo a Ticketmaster di pagare mezzo milione di dollari di riscatto affinché i dati non subissero il rischio di divulgazione o la vendita ad altri attori delle minacce.
Tuttavia, una settimana fa, gli stessi hacker hanno divulgato 166.000 codici a barre di biglietti di Taylor Swift, alzando la richiesta di estorsione a 2 milioni di dollari.
Ticketmaster aveva risposto spiegando che i dati sono inutili in quanto le loro misure antifrode ruotano costantemente su codici a barre mobili unici. “La tecnologia SafeTix di Ticketmaster protegge i biglietti aggiornando automaticamente un codice a barre nuovo e unico ogni pochi secondi, in modo che non possa essere rubato o copiato”, ha dichiarato Ticketmaster a BleepingComputer.
“Tuttavia sono stati rubati i dati personali di clienti che avevano acquistato biglietti per eventi in Nord America (Stati Uniti, Canada e/o Messico)”, mette in evidenza Sbaraglia: “I dati sottratti dovrebbero essere: e-mail, numero di telefono, dati della carta di credito (che dichiarano essere criptati) ed altre informazioni personali“.
Il problema è molto più complesso e grave di come cerca di arginare le proteste il sito delle vendite online dei biglietti per eventi. In gioco sono dati personali di mezzo milione di persone e la reputazione dell’azienda.
Infatti, “altro aspetto che deve preoccupare è l’enorme mole di dati dei clienti dell’azienda che potrebbero esser stati compromessi“, mette in guardia Paganini: “Online circolano stime di 560 milioni di utenti impattati e che quindi potrebbero essere a rischio di subire frodi“.
I dettagli del cyber attacco contro Ticketmaster
Quando si acquistano i biglietti tramite Ticketmaster, in alcuni luoghi ed eventi è possibile accettare la consegna tramite TicketFast. Attraverso questo metodo di consegna, i biglietti saranno inviati in formato PDF via e-mail, che è possibile stampare e portare all’evento per entrare ai concerti.
Poiché non si tratta di biglietti su dispositivi mobili, i threat actor sostengono che Ticketmaster non può ruotare i codici a barre utilizzando il suo meccanismo antifrode. Al contrario, devono annullare e riemettere i biglietti a coloro che hanno utilizzato il servizio.
“In realtà quello che è preoccupante è la notevole quantità di dati rubati“, mette in guardia Sbaraglia, “il gruppo criminale ShinyHunters, che ha dichiarato di aver rubato i dati personali di 560 milioni di clienti, probabilmente, ha sferrato un attacco ransomware con double extortion. Infatti i i cyber criminali avrebbe chiesto il pagamento di un riscatto di 500.000 dollari (400.000 sterline) per evitare che i dati vengano pubblicati o venduti ad altre parti”.
ShinyHunters è un gruppo cyber criminale piuttosto noto, che negli anni scorsi è stato responsabile di alcuni attacchi famosi tra cui il furto dei dati di 70 milioni di clienti della società di telecomunicazioni statunitense AT&T nel 2021 e di quasi 200.000 clienti di Pizza Hut in Australia nel 2023.
Nel marzo 2023 l’FBI ha bloccato il dominio, arrestando il suo amministratore Conor Brian Fitzpatrick, ma evidentemente il gruppo è ricomparso, come accaduto a Lockbit 3.0 e ad altri gruppi ransomware.
La risposta degli hacker
Sp1d3rHunters ha risposto a Ticketmaster, affermando però che il furto riguarda numerosi biglietti stampati in casa i cui codici a barre non possono ruotare.
“Ticketmaster mente al pubblico e dice che i codici a barre non possono essere utilizzati. Il database dei biglietti comprende sia i tipi di biglietti online che quelli fisici“, ha scritto l’attore della minaccia su un forum di hacking.
“I tipi di biglietti fisici (trafugati, ndr) sono Ticketfast, e-ticket e posta. Questi sono stampati e dunque non possono essere aggiornati in automatico”.
Il post degli autori del cyber attacco contro Ticketmaster include un link a un file CSV contenente i dati dei codici a barre di 38.745 biglietti TicketFast, la soluzione di Ticketmaster per la stampa casalinga dei biglietti.
Esposizione dei dati
Un’analisi dei dati effettuata da BleepingComputer espone i dati dei biglietti per 154 eventi e concerti, tra cui quelli per Aerosmith, Alanis Morissette, Billy Joel & Sting, Bruce Springsteen, Carrie Underwood, Cirque du Soleil, Dave Matthews Band, Foo Fighters, Metallica, Pearl Jam, Phish, P!nk, Red Hot Chili Peppers, Stevie Nicks, Sting, Tate McRae e $uicideboy$.
I threat actor hanno anche incluso una guida per convertire i dati dei biglietti trapelati in un codice a barre scansionabile che può essere utilizzato per creare biglietti grazie a modelli di stampa TicketFast che i clienti aziendali usano.
“Live Nation, società proprietaria di Ticketmaster, ha depositato presso la Securities and Exchange Commission (SEC) statunitense, un documento (in pratica la notifica del data breach) dove si dichiara che il 27 maggio 2024 ‘”‘un attore criminale minaccioso ha messo in vendita i dati degli utenti dell’azienda attraverso il dark web’. In effetti, un annuncio con alcuni campioni di dati presumibilmente ottenuti nella violazione è stato pubblicato sul sito web BreachForums, un forum di hacking recentemente ricomparso nel dark web”, avverte Sbaraglia.
Non è la prima volta che Ticketmaster subisce incidenti di sicurezza.
A novembre 2023 è stato presumibilmente colpito da un attacco informatico che ha causato problemi nella vendita dei biglietti per il tour di Era di Taylor Swift.
BleepingComputer ha provato a contattare Ticketmaster per chiedere come avrebbe gestito questi biglietti, ma non ha ancora ricevuto risposta.
“Questo caso evidenzia inoltre come l’impatto di un incidente informatico va ben oltre gli aspetti economici, se confermato l’incidente si avrebbero ripercussioni catastrofiche sulla reputazione dell’azienda colpita”, mette in evidenza Paganini.
Come mitigare il rischio degli attacchi alla supply chain
Gli attori delle minacce hanno già tentato di estorcere denaro a numerose altre aziende a cui sono stati rubati i dati Snowflake, tra cui Neiman Marcus, Los Angeles Unified School District, Advance Auto Parts, Pure Storage e Satander.
Tuttavia è ad essere danneggiata non è solo Taylor Swift, la star che scala le classifiche e le vette delle ricerche e dei trend sui social media, e de. La violazione riguarda soprattutto ‘aspetto più serio riguarda infatti la violazione dei dati personali di oltre 560 milioni di clienti del sito.
“In proposito, invito gli acquirenti dei biglietti ed i clienti dell’azienda di monitorare i comunicati emessi attraverso i suoi canali ufficiali“, avverte Paganini.
Altro aspetto che emerge da questo caso “è l’importanza della sicurezza della supply chain, in quanto a causare l’incidente a Ticketmaster sarebbe stata una violazione di un fornitore di servizi IT, l’azienda Snowflake“, sottolinea Paganini.
La cyber security della supply chain è di fondamentale importanza per le organizzazioni.
Infatti “gli attacchi alla supply chain possono mettere a rischio i dati, le operazioni e la reputazione di tutte le organizzazioni afferenti alla medesima filiera“, conclude Paganini: “È essenziale che le aziende valutino attentamente i rischi cyber legati ai propri fornitori e partner e implementino misure di sicurezza adeguate lungo tutta la supply chain“.
Infine “il solo fatto che dati personali quali email o numero di telefono siano stati resi pubblici nel data breach, aumenta il rischio di campagne di phishing o smishing massive“, conclude Sbaraglia.
