Thought Leadership
Eine Erpressungsgruppe namens Arkana Security sorgte kürzlich für Aufsehen, als sie scheinbar neu gestohlene Daten des Ticketdienstleisters Ticketmaster im Darknet zum Verkauf anbot.
Doch wie sich herausstellte, handelt es sich dabei nicht um eine neue Sicherheitslücke – sondern um bereits bekannte Daten aus dem Snowflake-Hack von 2024.
Der Ursprung des Datenlecks: Snowflake
Im Frühjahr 2024 wurde der Cloud-Dienstleister Snowflake Ziel einer groß angelegten Cyberattacke. Durch gestohlene Zugangsdaten, die mithilfe von sogenannten Infostealern erbeutet wurden, konnten Angreifer auf zahlreiche Kundendatenbanken zugreifen. Unter den betroffenen Unternehmen befanden sich prominente Namen wie Ticketmaster, Santander, AT&T, Neiman Marcus und weitere.
Die Angreifer – mutmaßlich eine Gruppierung mit Verbindungen zu den berüchtigten ShinyHunters – luden große Mengen sensibler Daten herunter und versuchten im Anschluss, diese zur Erpressung der betroffenen Firmen zu nutzen.
Arkana Security: Zweitverwertung mit dubiosen Methoden
Am vergangenen Wochenende veröffentlichte Arkana Screenshots und Hinweise auf mehr als 569 Gigabyte angeblicher Ticketmaster-Daten. Begleitet wurden diese von Dateinamen und Begriffen, die einen direkten Bezug zur ursprünglichen Snowflake-Attacke herstellen. Eines der Bilder trug beispielsweise den Hinweis „rapeflaked copy“ – ein Verweis auf ein internes Werkzeug der Angreifer, mit dem Daten aus Snowflake extrahiert wurden.
Ob Arkana die Daten selbst entwendet oder lediglich weiterverkauft, bleibt unklar. Ebenso ist offen, ob es sich bei der Gruppe um ehemalige Mitglieder von ShinyHunters handelt oder lediglich um Trittbrettfahrer.
Ticketmaster bestätigt Datenleck – Reaktion folgt spät
Ticketmaster bestätigte den Vorfall erst Ende Mai und begann anschließend mit der Benachrichtigung betroffener Kunden. Neben persönlichen Daten sollen auch Informationen zu Tickets, darunter angeblich sogar Tickets für Taylor-Swift-Konzerte, entwendet worden sein. In der Folge kam es zu weiteren Veröffentlichungen durch die Angreifer, darunter auch print-at-home-Tickets – mutmaßlich, um den Druck auf das Unternehmen zu erhöhen.
ShinyHunters: Ein Name mit Geschichte
Die Gruppierung ShinyHunters ist kein unbeschriebenes Blatt. In den vergangenen Jahren wurde sie mit zahlreichen Datendiebstählen in Verbindung gebracht – darunter der PowerSchool-Hack, bei dem Daten von über 62 Millionen Schülern und fast 10 Millionen Lehrkräften betroffen waren. Zuletzt wurden ihnen auch Angriffe auf Salesforce-Konten zugeschrieben.
Trotz mehrerer Verhaftungen in den letzten drei Jahren bleibt unklar, ob die aktuellen Aktivitäten von den ursprünglichen Mitgliedern stammen oder ob andere Gruppen lediglich unter dem Namen agieren, um Strafverfolgungsbehörden zu täuschen.
Die Wiederverwertung gestohlener Daten ist kein neues Phänomen. Der Fall Arkana zeigt jedoch, wie undurchsichtig und perfide die Strukturen der Cyberkriminalität sein können. Selbst lange nach einem erfolgreichen Angriff bleibt die Bedrohung für Unternehmen bestehen – insbesondere dann, wenn die gestohlenen Daten mehrfach verkauft oder öffentlich gemacht werden.
Die Sicherheit sensibler Kundendaten bleibt damit eine dauerhafte Herausforderung – nicht nur für Ticketmaster.
