Un fichier de 560 millions de clients pour la bagatelle de 500 000 dollars. C’est avec cette offre que le groupe ShinyHunters a mis en vente mardi 28 une base de données appartenant selon lui à la société de billetterie Ticketmaster.
Le groupe revendique avoir dérobé une base de données contenant des informations personnelles tel que le nom, le prénom, l’adresse postale, les numéros de téléphone et une partie des données de carte bleue utilisées par les clients pour passer des commandes sur le service de billetterie en ligne.
Le FBI s’occupe de l’affaire
Ticketmaster n’a pour l’instant pas communiqué sur ces revendications. Mais le FBI et l’agence de cybersécurité israélienne ont indiqué dans plusieurs médias avoir proposé leur aide à la société.
Selon BleepingComputer, la base de données mise en vente est apparue dans un premier temps sur un autre forum cybercriminel russophone. Et les extraits diffusés par les vendeurs semblent bien provenir des bases de données de Ticketmaster.
Ticketmaster est depuis 2010 une filiale de la société d’organisation de concerts LiveNation. Ticketmaster se spécialise dans la vente de billets pour des concerts ou des événements sportifs.
Un groupe à la réputation bien connue
Le groupe Shiny Hunters est un groupe cybercriminel actif 2020. Il a été à l’origine plusieurs vols de données d’entreprises dont Microsoft, ainsi que plusieurs opérations de chantage aux données volées.
A la fin du mois de mai 2022, un étudiant français au Maroc avait été interpellé suite à un signalement de la justice américaine. Elle le soupçonnait de travailler en lien avec le groupe. Après avoir plaidé son innocence, il a finalement reconnu son implication. Il et a été condamné à trois ans d’emprisonnement pour escroquerie et usurpation d’identité.
Shiny Hunters à la manoeuvre
Mais cette arrestation n’a pas empêché le groupe de continuer ses activités.
Il s’était notamment fait remarquer en reprenant le contrôle du site de revente de données volées BreachForums, suite à l’arrestation de son administrateur en mars 2023.
Aux côtés d’un ancien modérateur de la plateforme, connu sous le pseudonyme de Baphomet, le groupe Shiny Hunters a pris le rôle d’administrateur.
Coups de com
Cette résurgence de BreachForums a également été visée par une nouvelle opération de police au début du mois de mai 2024. Elle a permis aux forces de l’ordre de saisir les noms de domaines et serveurs associés à la plateforme.
Mais celle-ci ne semble pas avoir fonctionné comme prévu. Après avoir affiché pendant plusieurs jours une notice des forces de police annonçant la saisie du site, le forum est revenu en ligne apparemment sous le contrôle du groupe ShinyHunters.
Sur le forum, le compte administrateur au nom de ShinyHunters a publié hier des échanges obtenus entre son fournisseur de nom de domaines et les autorités américaines. Il a expliqué être parvenu à reprendre le contrôle du nom de domaine du forum.
Ridiculiser l’action des forces de l’ordre
Le groupe a également publié hier une autre base de données volées, qu’il affirme avoir dérobé auprès d’une banque américaine.
Depuis la reprise en main du forum par le groupe au mois de juin 2023, le compte ShinyHunters n’avait publié aucune revendication de ce type.
Ce changement de comportement montre de fait une stratégie de communication qui tente de ridiculiser l’action des forces de l’ordre.