La banda de ciberdelincuentes ShinyHunters se ha cobrado otra víctima, esta vez en Australia. El grupo publicó recientemente información en un foro de la Dark Web que, según dice, es para unos 30 millones de usuarios de Ticketek, la principal organización de venta de entradas para eventos en vivo de Down Under.

Ticketek Entertainment Group (TEG) ya había revelado la infracción a finales de mayo. Según una declaración en su sitio web, señaló que la información había sido robada a través de un proveedor de nube externo anónimo, y los piratas informáticos se habían llevado los nombres de los clientes, las fechas de nacimiento y las direcciones de correo electrónico. Ninguna cuenta de usuario se vio comprometida y la información de pago no quedó afectada en el incidente, enfatizó TEG.

Las circunstancias son inquietantemente similares a la violación de Ticketmaster, que salió a la luz a principios de junio después de que ShinyHunters publicara información que afectaba a 560 millones de clientes en el mercado clandestino BreachForums. Esa infracción también se debió al compromiso de una cuenta de nube de terceros, que los investigadores revelaron rápidamente que era Snowflake.

Posteriormente, los investigadores determinaron que el incidente de Ticketmaster fue parte de una campaña cibernética mucho más amplia contra cuentas Snowflake mal aseguradas que afectó a hasta 165 organizaciones, incluidas Advanced Auto Parts y (muy probablemente) el Banco Santander. Los atacantes se dirigieron a lo más fácil: cuentas en la nube que carecían de autenticación multifactor (MFA), utilizando credenciales de infracciones anteriores. Algunas de las contraseñas no habían sido rotadas durante tres años, según un análisis reciente de Mandiant.

A pesar de las especulaciones de los investigadores, TEG no ha confirmado una conexión de Snowflake ni ShinyHunters como los culpables del ciberincidente, aunque un estudio de caso de 2022 (PDF) nombra al proveedor de la nube como socio tecnológico del gigante de la venta de entradas.