شرکت فروش آنلاین بلیت "See" به مدت 2.5 سال توسط مهاجمان PlatoBlockchain Data Intelligence تحت کنترل قرار گرفت. جستجوی عمودی Ai.

شرکت فروش بلیت آنلاین "See" به مدت 2.5 سال توسط مهاجمان تحت فشار قرار گرفت

تمبر زمان: 26 اکتبر 2022، 12:58 بعد از ظهر

by
پل داکلین

See Tickets یک بازیکن بزرگ جهانی در تجارت آنلاین بلیط رویداد است: آنها به شما بلیط جشنواره ها، نمایش های تئاتر، کنسرت ها، کلوپ ها، کنسرت ها و موارد دیگر را می فروشند.

این شرکت به تازگی به یک نقض بزرگ داده اعتراف کرده است که حداقل یک ویژگی را با آمپلی فایرهای مورد علاقه نوازندگان بدنام راک دارد. ستون فقرات شیر: "اعداد همه به 11 می رسند، دقیقاً در سراسر صفحه."

با توجه به الگوی ایمیلی که See Tickets برای تولید عکس ایمیلی که برای مشتریان ارسال می‌شود (با تشکر از فیل مونکستر از مجله Infosecurity برای پیوند به وب سایت وزارت دادگستری مونتانا برای یک کپی رسمی)، نقض، کشف آن، بررسی و اصلاح آن (که هنوز به پایان نرسیده است، بنابراین ممکن است این مورد به 12 برسد) به شرح زیر آشکار شد:

  • 2019 06-25. حداکثر تا این تاریخ، مجرمان سایبری ظاهرا بدافزار سرقت اطلاعات را در صفحات پرداخت رویداد که توسط این شرکت اجرا می‌شوند، جاسازی کرده‌اند. (داده های در معرض خطر عبارتند از: نام، آدرس، کد پستی، شماره کارت پرداخت، تاریخ انقضای کارت، و شماره CVV.)
  • 2021 04. به بلیط مراجعه کنید "به فعالیتی که نشان دهنده دسترسی غیرمجاز احتمالی است هشدار داده شد".
  • 2021 04. تحقیقات در مورد یک شرکت پزشکی قانونی سایبری آغاز شد.
  • 2022 01-08. فعالیت غیرمجاز در نهایت بسته می شود.
  • 2022 09-12. ببینید Tickets در نهایت این حمله را به پایان می‌رساند "ممکن است منجر به دسترسی غیرمجاز شده باشد" به اطلاعات کارت پرداخت
  • 2022 10. (تحقیقات ادامه دارد.) به Tickets مراجعه کنید "ما مطمئن نیستیم که اطلاعات شما تحت تاثیر قرار گرفته است"، اما به مشتریان اطلاع می دهد.

به بیان ساده، این نقض بیش از دو سال و نیم طول کشید تا اینکه اصلاً مشاهده شد، اما نه توسط خود See Tickets.

سپس این رخنه به مدت XNUMX ماه ادامه یافت تا اینکه به درستی شناسایی و اصلاح شد و مهاجمان بیرون رانده شدند.

شرکت سپس هشت ماه دیگر منتظر ماند تا بپذیرد که اطلاعات "ممکن است" به سرقت رفته باشد.

به Tickets مراجعه کنید تا یک ماه بیشتر منتظر بمانید تا به مشتریان اطلاع داده شود و اعتراف کنید که هنوز نمی‌دانست چه تعداد از مشتریان داده‌های خود را در این نقض از دست داده‌اند.

حتی در حال حاضر، بیش از سه سال پس از اولین تاریخی که در آن مشخص شده است که مهاجمان در سیستم های See Ticket حضور داشته اند (اگرچه با توجه به آنچه ما می دانیم، زمینه برای حمله ممکن است قبل از این باشد)، این شرکت هنوز به نتیجه نرسیده است. بررسی کنید، بنابراین ممکن است اخبار بد بیشتری در راه باشد.

بعدش چی؟

ایمیل اطلاع رسانی See Tickets شامل توصیه هایی است، اما هدف اصلی آن این است که به شما بگوید برای بهبود امنیت سایبری خود به طور کلی چه کاری می توانید انجام دهید.

تا آنجا که به شما بگویم که خود شرکت برای جبران این نقض طولانی مدت اعتماد و داده های مشتری چه کرده است، تمام آنچه گفته شد این است: ما اقداماتی را برای استقرار پادمان‌های اضافی بر روی سیستم‌هایمان انجام داده‌ایم، از جمله با تقویت بیشتر نظارت امنیتی، احراز هویت و کدگذاری.»

با توجه به اینکه See Tickets در وهله اول از سوی شخص دیگری در مورد این نقض هشدار داده شده بود، پس از عدم توجه به آن برای دو سال و نیم، نمی توانید تصور کنید که این شرکت بتواند خیلی طول بکشد. ادعا می کند که نظارت امنیتی خود را "تقویت" می کند، اما ظاهراً این کار را کرده است.

در مورد توصیه‌ای که See Tickets به مشتریانش ارائه می‌کند، این به دو چیز خلاصه می‌شود: صورت‌های مالی خود را به طور منظم بررسی کنید و مراقب ایمیل‌های فیشینگ باشید که سعی می‌کنند شما را فریب دهند تا اطلاعات شخصی را تحویل دهید.

البته اینها پیشنهادات خوبی هستند، اما محافظت از خود در برابر فیشینگ در این مورد هیچ تفاوتی ایجاد نمی‌کند، زیرا هر گونه اطلاعات شخصی به سرقت رفته مستقیماً از صفحات وب قانونی گرفته شده است که مشتریان دقیق در وهله اول از بازدید آنها اطمینان حاصل می‌کردند.

چه کاری انجام دهید؟

یک آهسته مربی امنیت سایبری نباشید: مطمئن شوید که رویه‌های شناسایی و پاسخ تهدید شما همگام با TTP است (ابزارها، تکنیک ها و رویه ها) از دنیای سایبری.

کلاهبرداران به طور مداوم ترفندهایی را که استفاده می کنند، توسعه می دهند، که بسیار فراتر از تکنیک قدیمی نوشتن ساده بدافزار جدید است.

در واقع، بسیاری از سازش‌ها این روزها به سختی (یا اصلاً) از بدافزار استفاده نمی‌کنند. حملات انسانی که در آن مجرمان سعی می کنند تا آنجا که می توانند به ابزارهای مدیریت سیستمی که از قبل در شبکه شما در دسترس هستند تکیه کنند.

کلاهبرداران یک طیف گسترده ای از TTP ها نه فقط برای اجرای کد بدافزار، بلکه برای:

  • شکستن برای شروع
  • نوک پا در اطراف شبکه هنگامی که آنها در.
  • ناشناخته شدن تا آنجا که ممکن است
  • نقشه برداری از شبکه شما و قراردادهای نامگذاری شما و همچنین خودتان آنها را می شناسید.
  • راه‌اندازی راه‌های یواشکی تا جایی که می‌توانند بعداً به داخل برگردند اگر آنها را بیرون کنید

این نوع مهاجم به طور کلی به عنوان یک شناخته می شود حریف فعال، به این معنی که آنها اغلب به اندازه sysadmin های خود شما عمل می کنند و می توانند تا آنجا که می توانند با عملیات قانونی ترکیب شوند:

فقط حذف هر بدافزاری که کلاهبرداران ممکن است کاشته کرده باشند کافی نیست.

همچنین باید هر گونه تنظیمات یا تغییرات عملیاتی را که ممکن است انجام داده باشند، بررسی کنید، در صورتی که یک درپشتی مخفی باز کنند که از طریق آن آنها (یا هر کلاهبردار دیگری که بعداً دانش خود را به آنها می فروشند) بتوانند به عقب برگردند. بعداً در اوقات فراغتشان

به یاد داشته باشید، همانطور که ما دوست داریم در مورد پادکست امنیتی برهنه، حتی اگر می دانیم که این یک کلیشه است، که امنیت سایبری یک سفر است، نه یک مقصد.

اگر زمان یا تخصص کافی برای ادامه دادن به آن سفر به تنهایی ندارید، از کمک گرفتن در مورد آنچه به عنوان MDR شناخته می شود نترسید (شناسایی و پاسخ مدیریت شده)، جایی که شما با a تیم می شوید گروه مورد اعتماد کارشناسان امنیت سایبری برای کمک به نگه داشتن شماره گیری های مربوط به نقض داده های خود بسیار زیر "11" مانند Spinal Tap.

تمبر زمان:

بیشتر از امنیت برهنه