Después de que un grupo de cibercriminales afirmara haber... Ticketmaster robó datos de 560 millones de clientesLa empresa matriz de la empresa de venta y distribución de entradas, ha estado investigando. Tras estas investigaciones, informó a la Comisión de Bolsa y Valores de Estados Unidos (SEC) el pasado viernes que había identificado una actividad no autorizada con uno de los socios en la nube de su filial. “El 20 de mayo de 2024, Live Nation Entertainment identificó una actividad no autorizada en un entorno de base de datos en la nube de terceros que contenía información corporativa, principalmente de su filial Ticketmaster LLC, y lanzó una investigación con investigadores jurados para comprender lo que sucedió”, indica la SECLa presentación no menciona el número de cuentas de clientes afectadas, pero parece referirse a reclamaciones del grupo cibercriminal ShinyHunters.

“El 27 de mayo de 2024, un actor de amenazas cibernéticas publicó lo que afirmó que eran datos de usuarios de la empresa para su venta en la red oscura. Estamos trabajando para mitigar los riesgos para nuestros usuarios y la empresa, y hemos notificado y estamos cooperando con las fuerzas del orden. Cuando corresponde, también notificamos a los reguladores y usuarios sobre el acceso no autorizado a la información personal”, dijo LiveNation. La empresa se enfrenta actualmente a cargos antimonopolio (con una solicitud de disolución) por parte del gobierno de EE. UU. por inflar ilegalmente los precios de las entradas, y dijo que no creía que la violación tuviera un impacto material en su negocio o situación financiera. “Seguimos evaluando los riesgos y nuestros esfuerzos de remediación están en curso”, dijo LiveNation.

Índice
  1. El socio de la nube responsable de la infracción aún no ha sido identificado
  2. ¿El daño se extendió a otros entornos de nube?
  3. Se siguieron las últimas pautas de notificación de incidentes de la SEC

El socio de la nube responsable de la infracción aún no ha sido identificado

La empresa no identificó al socio de nube en cuestión, pero uno de sus proveedores de nube, Snowflake, publicó su propia declaración el 2 de junio, también haciendo referencia a una “actividad cibernética maliciosa”. Varios medios de comunicación han vinculado la situación de Ticketmaster con la declaración de Snowflake, pero el CISO no pudo confirmar definitivamente que los dos incidentes estuvieran relacionados. El proveedor de almacenamiento de datos en la nube dijo en su declaración que recientemente había observado e investigado un aumento en las amenazas dirigidas a algunas de las cuentas de sus clientes.

“Creemos que esto es el resultado de ataques continuos dirigidos a identidades en toda la industria con la intención de obtener datos de los clientes. Las investigaciones indican que este tipo de ataques se están llevando a cabo utilizando las credenciales de nuestros clientes que fueron expuestas como parte de una amenaza cibernética no relacionada”, afirmó la empresa. “En este momento, no creemos que esta actividad sea causada por una vulnerabilidad, una configuración incorrecta o una actividad maliciosa dentro del producto Snowflake. A lo largo de nuestra investigación en curso, hemos estado notificando rápidamente al número limitado de clientes que creemos que pueden haber sido afectados”. El editor reclamos unos 9.437 clientes, incluidos Albertsons, JetBlue, Honeywell, Disney, MasterCard, Pfizer y Petco.

¿El daño se extendió a otros entornos de nube?

A Danielle Stepien, CEO de Igniter Engineering, que trabaja en ciberseguridad para la industria aeroespacial y otros sectores relacionados, le preocupa que este exploit pueda ser una señal de una amenaza más amplia. “Si se trata de un ataque de ransomware, podría ser algún tipo de infección que tendría un impacto significativo en las operaciones comerciales y podría afectar las cadenas de suministro, otros sistemas de los que aún no tenemos conocimiento público, y más”, afirma. “El hecho de que el ataque se haya realizado en la nube es algo malo porque podría afectar a cualquier otro sistema que utilice la misma nube”, añade. Stepien también señala que la naturaleza de este tipo de exposición a terceros podría extender el daño a medida que aumenta el riesgo cibernético.

“Las violaciones de las bases de datos tienen enormes implicaciones, ya sea que ocurran en la nube o en las instalaciones. No tienes idea de cómo una base de datos está conectada con todas las demás bases de datos porque, obviamente, se trata de conocimiento exclusivo”, dijo Stepien. “Si están conectadas, el impacto en las operaciones comerciales es enorme para todo lo que se ve afectado”.

Se siguieron las últimas pautas de notificación de incidentes de la SEC

Parece que Live Nation se ha tomado en serio la reciente revisión de las directrices de la SEC sobre el formulario de notificación que se debe utilizar cuando un incidente de seguridad no está claro, en este caso el 8.01. Parte de la confusión que rodea a los requisitos de notificación de la SEC es que ahora se exige a las empresas que determinen si un incidente es material antes de informar sobre él. Una vez que lo han hecho, tienen cuatro días para presentar un informe. Sin embargo, muchas empresas, incluida Live Nation, están diciendo a la SEC que aún no han determinado la materialidad del incidente. La pregunta es qué tan útil será esta información para los inversores.

Por lo general, una empresa evaluará un evento en función del posible impacto en los ingresos o en los resultados. En el caso de las grandes empresas (el ingreso anual más reciente de Live Nation fue de 22.700 millones de dólares), esto normalmente solo ocurre si la empresa espera que un gran número de clientes abandonen la empresa debido al incidente o que pierdan una parte significativa de sus ingresos debido a la marcha de algunos de sus clientes más importantes. En el caso de Ticketmaster, esto solo ocurriría si los consumidores fueran a comprar entradas para los espectáculos a otro lugar. Sin embargo, en Estados Unidos hay pocos minoristas alternativos, lo que sugiere que un ciberataque solo sería significativo si alejara a un gran número de lugares o afectara a la producción de grandes artistas. En este caso, el ataque ni siquiera se dirigió a la empresa, sino a uno de sus socios de TI en la nube, lo que hace que sea aún más complejo determinar la importancia del ataque.