Ründajate poolt 2.5 aastaks müüdud veebipiletite müügifirma "See".

See Tickets on veebisündmuste piletimüügiäris ülemaailmselt oluline tegija: nad müüvad teile pileteid festivalidele, teatrietendustele, kontsertidele, klubidele, kontserditele ja paljule muule.

Ettevõte tunnistas äsja suure andmerikkumise, mis jagab vähemalt ühte omadust kurikuulsate rokiesinejate poolt eelistatud võimenditega. Seljaaju Tap: "Kõik numbrid ulatuvad 11-ni, üldiselt."

Vastavalt meilimallile, mida teenus See Tickets kasutas klientidele saadetud meilipildi loomiseks (tänu Phil Muncaster Infosecurity Magazine'i lingi saamiseks Montana justiitsministeeriumi veebisait ametliku koopia jaoks), rikkumine, selle avastamine, uurimine ja heastamine (mis pole ikka veel lõppenud, nii et see võib veel ulatuda 12-ni) kujunes järgmiselt:

• 2019-06-25. Hiljemalt selleks kuupäevaks olid küberkurjategijad ilmselt siirdanud ettevõtte hallatavatele sündmuste kontrolli lehtedele andmeid varastava pahavara. (Riski andmed olid: nimi, aadress, sihtnumber, maksekaardi number, kaardi aegumiskuupäev ja CVV number.)
• 2021-04. Vt piletid "teid teavitati tegevusest, mis viitas võimalikule volitamata juurdepääsule".
• 2021-04. Käivitatud uurimine, mis hõlmab küberkohtuekspertiisi firmat.
• 2022-01-08. Volitamata tegevus suletakse lõpuks.
• 2022-09-12. Vaata, Tickets lõpetab selle rünnaku lõpuks "võis põhjustada volitamata juurdepääsu" maksekaardi andmetele.
• 2022-10. (Uurimine käib.) Vaata Piletid ütleb "Me ei ole kindlad, et see teie teavet mõjutas", kuid teavitab kliente.

Lihtsamalt öeldes kestis rikkumine rohkem kui kaks ja pool aastat, enne kui seda üldse märgati, kuid mitte See Ticketsi enda poolt.

Seejärel jätkus rikkumine veel üheksa kuud, enne kui see korralikult tuvastati ja kõrvaldati ning ründajad löödi minema.

Seejärel ootas ettevõte veel kaheksa kuud, enne kui nõustus, et andmed "võivad olla" varastatud.

Vaata Pileteid kui ootas veel kuu aega, enne kui kliente teavitas, tunnistades, et ei teadnud ikka veel, kui palju kliente on rikkumise tõttu andmeid kaotanud.

Isegi praegu, palju enam kui kolm aastat pärast varasemat kuupäeva, mil ründajad teadaolevalt olid See Ticketi süsteemides (kuigi rünnaku eeltöö võis meile teadaolevalt eelneda), ei ole ettevõte ikka veel lõpetanud uurimist, nii et halbu uudiseid võib veel tulla.

Mis järgmine?

Piletite vaatamise teavitusmeil sisaldab mõningaid nõuandeid, kuid selle eesmärk on eelkõige öelda, mida saate ise oma küberturvalisuse parandamiseks üldiselt teha.

Mis puudutab teile seda, mida ettevõte ise on selle pikaajalise klientide usalduse ja andmete rikkumise korvamiseks teinud, siis on kõik öeldud, "Oleme astunud samme, et juurutada oma süsteemidesse täiendavaid kaitsemeetmeid, sealhulgas tugevdades veelgi meie turvaseiret, autentimist ja kodeerimist."

Arvestades, et See Ticketsi teavitas rikkumisest kõigepealt keegi teine, siis pärast seda, kui te ei märganud seda kaks ja pool aastat, ei kujuta te ette, et ettevõttel kuluks palju aega, enne kui ta saaks seda teha. väidavad, et "tugevdavad" oma turvaseiret, kuid ilmselt on see seda teinud.

Mis puudutab klientidele jagatud nõuannet Vaata pileteid, siis see taandub kahele asjale: kontrollige regulaarselt oma finantsaruandeid ja jälgige andmepüügimeile, mis püüavad teid isikuandmeid üle petta.

Need on muidugi head soovitused, kuid andmepüügi eest kaitsmine poleks antud juhul midagi muutnud, arvestades, et kõik varastatud isikuandmed võeti otse seaduslikelt veebilehtedelt, mida hoolikad kliendid oleksid kindlasti külastanud.

Mida teha?

Ärge olge küberjulgeoleku aeglane treener: veenduge, et teie enda ohutuvastus- ja reageerimisprotseduurid peavad sammu TTP-dega (tööriistad, tehnikad ja protseduurid) küberallilmast.

Kelmid arendavad pidevalt oma kasutatavaid nippe, mis lähevad palju kaugemale vana kooli tehnikast, milleks on lihtsalt uue pahavara kirjutamine.

Tõepoolest, tänapäeval ei kasutata paljudes kompromissides pahavara peaaegu üldse (või ei kasutata üldse), mis on nn. inimeste juhitud rünnakud kus kurjategijad püüavad nii palju kui võimalik toetuda süsteemihaldustööriistadele, mis on teie võrgus juba saadaval.

Kelmidel on a lai valik TTP-sid mitte ainult pahavarakoodi käitamiseks, vaid ka:

• Sissemurdmine alustuseks.
• Kikivarvul mööda võrku kui nad on sisse saanud.
• Jääb märkamatuks nii kaua kui võimalik.
• Oma võrgu kaardistamine ja teie nimetamistavad, samuti kui teate neid ise.
• Luuakse salakaval viise, kuidas hiljem tagasi pääseda kui sa nad välja viskad.

Seda tüüpi ründajat tuntakse üldiselt kui an aktiivne vastane, mis tähendab, et nad on sageli sama praktilised kui teie enda süsteemiadministraatorid ja suudavad sulanduda legitiimsete toimingutega nii palju kui võimalik:

Ainuüksi kurjategijate implanteeritud pahavara eemaldamisest ei piisa.

Samuti peate üle vaatama kõik nende tehtud konfiguratsiooni- või töömuudatused juhuks, kui nad on avanud peidetud tagaukse, mille kaudu nad (või mis tahes muud kelmid, kellele nad hiljem oma teadmisi müüvad) võivad tagasi rännata. hiljem oma vabal ajal.

Pidage meeles, nagu meile meeldib kohta öelda Alasti turvalisuse taskuhääling, kuigi me teame, et see on klišee, see küberturvalisus on teekond, mitte sihtkoht.

Kui teil ei ole piisavalt aega või teadmisi, et iseseisvalt selle teekonnaga edasi liikuda, ärge kartke pöörduda abi saamiseks nn MDR-i (hallatud tuvastamine ja reageerimine), kus ühinete a usaldusväärne rühm küberturbeeksperte et aidata hoida teie enda andmemurdmise numbrid tunduvalt allpool Spinal Tap-tüüpi 11.

---