{"id":295758,"date":"2024-06-01T15:12:00","date_gmt":"2024-06-01T13:12:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295758"},"modified":"2024-06-17T08:47:26","modified_gmt":"2024-06-17T06:47:26","slug":"hacks-bei-santander-und-ticketmaster-ber-snowflake-konten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/01\/hacks-bei-santander-und-ticketmaster-ber-snowflake-konten\/","title":{"rendered":"Hacks bei Santander und Ticketmaster über Snowflake-Konten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Woche wurden Hacks der Santander Bank und des Anbieters von Tickets, Ticketmaster, bekannt. Bei beiden Hacks wurden Benutzerdaten im gro\u00dfen Umfang erbeutet, die nun in Untergrundforen verkauft werden. Brisant wird die Geschichte, weil diese Hacks wohl \u00fcber kompromittierte Benutzerkonten beim Cloud-Anbieter Snowflake m\u00f6glich werden. Die oder der Hacker geben an, \u00fcber ein gehacktes Konto eines Snowflake-Mitarbeiters die M\u00f6glichkeit zum Angriff auf die beiden Unternehmen bekommen zu haben. Snowflake bestreitet die und sagt, dass schwache Benutzerpassw\u00f6rter der beiden Opfer die Ursache f\u00fcr den Hack sind.<\/p>\n

<\/p>\n

Hacks bei Santander und Ticketmaster<\/h2>\n

\"\"Zuerst ein kurzer R\u00fcckblick. Im Beitrag Cybervorf\u00e4lle bei Banken: ABN Amro und Santander (Mai 2024)<\/a> habe ich die Woche berichtet, dass die spanische Bank Santander Opfer eines Hacks wurde, bei dem Millionen von Daten von der Bank exfiltriert wurden. Es handelt sich um eine Datenbank mit 30 Millionen Kundendaten, 64 Millionen Kontonummern und -salden, 28 Millionen Kreditkartennummern, Listen von HR-Mitarbeitern, und Informationen \u00fcber die Staatsb\u00fcrgerschaft von Kunden. Die Daten werden in einem Hackerforum f\u00fcr 2.000.000 Dollar zum Verkauf angeboten.<\/p>\n

Eine Untersuchung der Bank ergab, dass auf Kundendaten von Santander Chile, Spanien und Uruguay sowie auf die Daten aller aktuellen und einiger ehemaliger Mitarbeiter zugegriffen wurde. Erw\u00e4hnt wurde, dass der Hack durch einen unbefugten Zugriff auf eine Datenbank, die von einem Drittanbieter gehostet wurde, m\u00f6glich war. Santander warnte am 14. Mai 2024, dass eine Datenbank kompromittiert wurde. Die Hacker bieten die 30 Millionen Kundendaten zum Verkauf an.<\/p>\n

Bei Ticketmaster handelt es sich um ein amerikanisches Ticketverkaufs- und Vertriebsunternehmen, welches weltweit t\u00e4tig ist. Im Blog-Beitrag Anbieter Ticketmaster gehackt, mehr als 500 Mio-Nutzerdaten entwendet<\/a> hatte ich offen gelegt, dass der Anbieter angeblich von ShinyHunters gehackt wurde. Die Hacker geben an, 560 Millionen Nutzerdaten, Ticketverk\u00e4ufe, Bestellungen, Veranstaltungsinformationen und Kartendaten erbeutet zu haben.<\/p>\n

Hacks wurden \u00fcber Snowflake erm\u00f6glicht<\/h2>\n

Sicherheitsforscher Kevin Beaumont greift in nachfolgendem Tweet<\/a> und auf Mastodon<\/a> den Sachverhalt auf und schreibt, dass es einen \"sehr gro\u00dfen Cybervorfall bei Snowflake gegeben habe\". Snowflake ist eine Cloud-Plattform (das Unternehmen bezeichnet sich als AI Data Cloud), die von von 9.437 Kunden genutzt wird. Dazu geh\u00f6ren Unternehmen wie Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha und viele andere.<\/p>\n

<\/p>\n

Snowflake bietet eine kostenlose Testversion an, bei der sich jeder anmelden und Daten hochladen kann. Und das haben die Thread-Akteure wohl auch getan. Laut Beaumont haben die Bedrohungsakteure seit etwa einem Monat Kundendaten mit einem Tool namens Rapeflake abgegriffen. Er merkt an, dass bei Snowflake massenhaft Daten abgegriffen wurden, aber niemand hat es bemerkt.<\/p>\n

Laut Beaumont scheint es, dass eine Menge Daten \"von einer Reihe von Organisationen\" abgezogen wurden. Dazu schreibt er auf Mastodon, dass sechs Unternehmen ihm mitgeteilt haben, dass sie Vorf\u00e4lle im Zusammenhang mit Snowflake bearbeiten, bei denen ihre Daten kopiert wurden. Erg\u00e4nzung: Es gibt nun diesen Artikel<\/a> auf Medium von Beaumont.<\/p>\n

Erkenntnisse von Hudson Rock zu den Hacks<\/h2>\n

Die Kollegen von Bleeping Computer haben den Sachverhalt im Beitrag Snowflake account hacks linked to Santander, Ticketmaster breaches<\/a> aufbereitet und schreiben, dass die Hacker explizit angeben, bei den Hacks von Santander und Ticketmaster \u00fcber Snowflake-Konten m\u00f6glich wurden. Man habe sich in das Konto eines Mitarbeiters des Cloud-Speicherunternehmens Snowflake gehackt. Danach wurden die oben erw\u00e4hnten Hacks der Cloud-Instanzen m\u00f6glich. Das Unternehmen Snowflake bestreitet diese Behauptungen jedoch und erkl\u00e4rt, dass die j\u00fcngsten Sicherheitsverletzungen durch schlecht gesicherte Kundenkonten verursacht wurden.<\/p>\n

Das Cybersecurity-Unternehmen Hudson Rock hatte in einem inzwischen gel\u00f6schten Beitrag weitere Details genannt. Durch die direkte Kommunikation mit dem Bedrohungsakteur, der hinter der massiven Datenpanne beim Cloud-Speicherriesen Snowflake steckt, haben die Hudson Rock-Sicherheitsforscher angeblich einen beispiellosen Einblick in die verheerenden Auswirkungen von Infostealer-Infektionen gewonnen. Auf Grund das gel\u00f6schten Beitrags sind die folgenden Infos (speziell zu weiteren Firmen) aber mit Vorsicht zu genie\u00dfen. Auf Media gibt es diesen Beitrag<\/a>, der das Ganze nachzeichnet. Und hier<\/a> werden auch einige Relativierungen zu den Hudson Rock-Ausf\u00fchrungen nachgezeichnet.<\/p>\n

Die Geschichte beginnt am 26. Mai in einer Telegram-Unterhaltung mit einem Bedrohungsakteur, der behauptet, zwei gro\u00dfe Unternehmen, Ticketmaster und Santander Bank, gehackt zu haben. Die Daten dieser Unternehmen wurden auf dem russischsprachigen Cybercrime-Forum exploit[.]in<\/em> zum Verkauf angeboten. Die von dem Bedrohungsakteur bereitgestellten Datenbankmuster veranlassten die Forscher von Hudson Rock zu der Annahme, dass die Daten echt sind.<\/p>\n

Hudson Rock\u00a0 gibt an, dass die Angreifer behaupteten, sie h\u00e4tten sich \u00fcber Snowflake auch Zugang zu den Daten anderer namhafter Unternehmen verschafft, die die Cloud-Speicherdienste von Snowflake nutzen. Dort fallen Namen wie Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate und Advance Auto Parts.<\/p>\n

Zum Angriff sollen die Hacker den sicheren Authentifizierungsprozess von Okta unter auf lift.snowflake.com<\/em> umgangen haben, indem sie sich mit gestohlenen Anmeldedaten in das ServiceNow-Konto eines Snowflake-Mitarbeiters einloggten. Anschlie\u00dfend konnten sie angeblich Session-Tokens generieren, um Daten von Snowflake-Kunden zu exfiltrieren.<\/p>\n

\"Um es unverbl\u00fcmt auszudr\u00fccken: Ein einziger Zugangscode f\u00fchrte zur Exfiltration von potenziell Hunderten von Unternehmen, die ihre Daten mit Snowflake gespeichert haben, wobei der Bedrohungsakteur selbst angab, dass 400 Unternehmen betroffen sind\", zitiert Bleeping Computer Hudson Rock. Der Bedrohungsakteur hat den Forschern von Hudson Rock eine Datei zur Verf\u00fcgung gestellt, die den Umfang seines Zugriffs auf Snowflake-Server zeigt. \"Diese Datei dokumentiert \u00fcber 2.000 Kundeninstanzen, die sich auf die europ\u00e4ischen Server von Snowflake beziehen.\" hei\u00dft es.<\/p>\n

Der Bedrohungsakteur behauptet laut Hudson Rock, dass er Snowflake erpressen wollte, die gestohlenen Daten f\u00fcr 20 Millionen Dollar zur\u00fcckzukaufen, aber das Unternehmen hat auf seine Erpressungsversuche nicht geantwortet. Hudson Rock schreibt dazu, dass ein Snowflake-Mitarbeiter im Oktober von einem Infostealer vom Typ Lumma infiziert wurde. Die Malware stahl die Zugangsdaten zur Snowflake-Infrastruktur, wie auf einem Screenshot zu sehen ist, der von dem Bedrohungsakteur mit Hudson Rock geteilt wurde.<\/p>\n

Mandiant unterst\u00fctzt Snowflake-Kunden<\/h3>\n

Charles Carmakal, CTO von Mandiant Consulting, erkl\u00e4rte gegen\u00fcber BleepingComputer, dass Mandiant in den letzten Wochen Snowflake-Kunden unterst\u00fctzt hat, die kompromittiert wurden. \"Jede SaaS-L\u00f6sung, die ohne Multifaktor-Authentifizierung konfiguriert ist, kann von Bedrohungsakteuren massiv ausgenutzt werden. Wir empfehlen allen Cloud-Nutzern, mindestens 2-Faktor-Authentifizierung und IP-basierte Einschr\u00e4nkungen zu implementieren\", zitiert Bleeping Computer Carmakal.\" Mandiant geht davon aus, dass Bedrohungsakteure diese Kampagne auf andere SaaS-L\u00f6sungen ausweiten werden, die sensible Unternehmensdaten enthalten.<\/p>\n

Warum der Hudson Rock-Beitrag gel\u00f6scht wurde<\/h3>\n

Der Hudson Rock-Beitrag wurde nach wenigen Stunden gel\u00f6scht – ich hatte noch einige Zeit Zugriff \u00fcber den Bing-Cache. Man stellt sich nat\u00fcrlich die Frage, was dahinter steckt, wenn ein fundiert erscheinender Beitrag pl\u00f6tzlich offline ist. Kann es sein, dass die Information fehlerhaft sind? Mir ist es passiert, dass ich \u00fcber eine Medienagentur aufgefordert wurde, eine Beitrag zu Adobe AI wegen fehlerhafter Berichterstattung zu l\u00f6schen – habe ich nicht getan, wie ich im Beitrag\u00a0Deaktiviert das Scannen von Dokumenten durch Adobe AI-L\u00f6sungen<\/a> ausf\u00fchre und begr\u00fcnde.<\/p>\n

\"Hudson<\/a><\/p>\n

Auf X sind mir von mehreren Nutzern Posts mit obigem Inhalt untergekommen. Hudson Rock hat Post von den Snowflake-Anw\u00e4lten bekommen und den Beitrag vorsorglich offline genommen. Der Streisand-Effekt d\u00fcrfte sicher sein.<\/p>\n

Erg\u00e4nzung 4. Juni 2024:<\/strong> The Verge hat diesen Artikel<\/a> ver\u00f6ffentlicht, nach dem kein Hack von Snowflake festgestellt wurde. Es wurden wohl einzelne Konten angegriffen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Woche wurden Hacks der Santander Bank und des Anbieters von Tickets, Ticketmaster, bekannt. Bei beiden Hacks wurden Benutzerdaten im gro\u00dfen Umfang erbeutet, die nun in Untergrundforen verkauft werden. Brisant wird die Geschichte, weil diese Hacks wohl \u00fcber kompromittierte Benutzerkonten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-295758","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295758","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295758"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295758\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295758"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295758"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295758"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}