Ciberseguridad
cibercrimen

Un grupo de ciberdelincuentes asegura haber robado datos de 560 millones de usuarios de Ticketmaster

Entre la información sustraída se incluyen números parciales de tarjetas de pago e identificaciones personales de los clientes.

Ticketmaster

El grupo de ciberdelincuentes ShinyHunters ha reclamado la autoría del robo de datos de más de 500 millones de clientes de Ticketmaster. Lo ha hecho publicando capturas de pantalla que así lo certifican, pero varios investigadores dudan que se haya establecido un ciberataque explícito contra la empresa o su matriz, LiveNation.

Aunque la firma aún no se ha pronunciado sobre la infracción, los ciberdelincuentes piden hasta 500.000 dólares por la base de datos, que contiene nombres, direcciones, correos electrónicos, números de teléfono, registros de ventas de entradas y detalles de los eventos, informaciones de pedido y datos de las tarjetas de pago como el nombre del titular, los últimos cuatro dígitos y la fecha de vencimiento, según se puede observar en una de estas fotografías publicadas.

 

La especulación abunda

Los expertos especulan sobre los posibles vectores de ataque para este caso, pero ninguno ha citado ninguna evidencia para poder afirmar cómo se ha ejecutado el incidente. Por ejemplo, una especialista de la propia aplicación de venta de entradas, que ha pedido no ser identificada, sospecha que han sido los sistemas legacy los que han podido servir de punto de entrada. “Esta es una empresa que tiene mucha infraestructura heredada. Es lo que hace posible Ticketmaster, pero, a su vez, conlleva un gran riesgo. El software y el hardware antiguos y las políticas y procedimientos tradicionales traen muchos desafíos añadidos”.

Otro investigador, Britton White, ha publicado en Linkedin que a un socio de software de Ticketmaster, EPAM, se le robó la cuenta de un empleado y así el atacante pudo tomar el control de su sistema remoto. Este método permite al ciberdelincuente evitar las defensas de autenticación multifactor “haciéndose con tokens de sesión y cookies. Con ese nivel de acceso, estas organizaciones simplemente no se dan cuenta de que han sido atacadas. Aunque, ha dicho, no se puede comprobar que este haya sido el método de entrada.

 

Se tomaron las precauciones apropiadas

“No se puede comprar un Ferrari con los últimos cuatro dígitos de una tarjeta de pago”, dice Matt Harrigan, vicepresidente de Leviathan Security, en referencia a que parece que Ticketmaster había tomado previamente las precauciones necesarias para proteger los datos de los titulares de las tarjetas. Pero añade que la naturaleza de los datos a los que supuestamente se ha accedido sugiere algo preocupante; que los ‘malos’ han entrado en una base de datos que centraliza toda la actividad de la empresa. Es decir, a un registro de transacciones de todo lo que allí sucede. Asimismo, también sospecha que el vector de ataque probablemente estaba aprovechando las brechas de seguridad de las aplicaciones web.

Dwayne McDaniel, defensor de los desarrolladores de GitGuardian, tenía sus propias sospechas sobre el vector de ataque. "Teniendo en cuenta lo que sabemos sobre el grupo de amenazas ShinyHunters que se está atribuyendo el mérito, es muy probable que esto haya sido causado por una credencial de texto sin formato codificada, ya que les encantan los tokens GitHub OAuth, o credenciales previamente filtradas para cuentas de Office365 que nunca han sido rotadas. No importa qué ruta de ataque común tomaron, es probable que una política de rotación de secretos más común o automatizada hubiera mantenido seguros a los clientes de Ticketmaster".

 

 



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper