Verkkolippuyhtiö "See" on hyökkääjien omistettu 2.5 vuodeksi

See Tickets on merkittävä globaali toimija online-tapahtumien lippuliiketoiminnassa: he myyvät sinulle lippuja festivaaleille, teatteriesityksille, konsertteille, klubeille, keikoille ja paljon muuta.

Yhtiö on juuri myöntänyt suuren tietomurron, jolla on vähintään yksi ominaisuus pahamaineisten rock-esiintyjien suosimien vahvistimien kanssa. Spinal Tap: "Kaikki luvut menevät 11:een, kaikkialla."

Sen sähköpostimallin mukaan, jota See Tickets käytti luomaan asiakkaille lähetetyn postiotoksen (kiitos Phil Muncaster Infosecurity Magazine -lehden linkistä Montanan oikeusministeriön verkkosivusto virallista kopiota varten), rikkomus, sen havaitseminen, tutkiminen ja korjaaminen (jotka eivät ole vielä päättyneet, joten tämä saattaa vielä mennä aina 12:een asti) eteni seuraavasti:

• 2019-06-25. Viimeistään tähän päivämäärään mennessä kyberrikolliset olivat ilmeisesti istuttaneet tietoja varastavia haittaohjelmia yrityksen ylläpitämille tapahtumien kassasivuille. (Tietoja vaarassa olivat: nimi, osoite, postinumero, maksukortin numero, kortin viimeinen voimassaolopäivä ja CVV-numero.)
• 2021-04. Katso Liput "sai ilmoituksen mahdollisesta luvattomasta käytöstä viittaavasta toiminnasta".
• 2021-04. Tutkinta aloitettiin, ja siihen osallistui kyberrikostekninen yritys.
• 2022-01-08. Luvaton toiminta lopetetaan lopulta.
• 2022-09-12. Katso Tickets vihdoin päättää hyökkäyksen "on saattanut johtaa luvattomaan käyttöön" maksukortin tietoihin.
• 2022-10. (Tutkinta käynnissä.) Katso Tickets sanoo "emme ole varmoja, että tietosi on vaikuttanut", mutta ilmoittaa asiakkaille.

Yksinkertaisesti sanottuna rikkomus kesti yli kaksi ja puoli vuotta ennen kuin se havaittiin ollenkaan, mutta ei itse See Ticketsissä.

Rikkomus jatkui sitten vielä yhdeksän kuukautta ennen kuin se havaittiin ja korjattiin asianmukaisesti, ja hyökkääjät potkittiin ulos.

Yritys odotti sitten vielä kahdeksan kuukautta ennen kuin hyväksyi, että tiedot "saattaa" olla varastettu.

Katso Tickets kuin odotti vielä kuukauden ennen kuin ilmoitti asiakkaille, ja myönsi, ettei se vieläkään tiennyt, kuinka moni asiakas oli menettänyt tietoja rikkomuksen seurauksena.

Vielä nytkin, reilusti yli kolme vuotta sen jälkeen, kun hyökkääjien tiedetään olleen See Ticketin järjestelmissä (vaikka hyökkäyksen perusta on saattanut olla ennen tätä, kaikki tiedämme), yhtiö ei ole vieläkään saanut päätökseen. tutkimusta, joten huonoja uutisia voi vielä olla tulossa.

Mitä seuraavaksi?

See Tickets -ilmoitussähköposti sisältää neuvoja, mutta sen ensisijaisena tarkoituksena on kertoa, mitä voit tehdä itse parantaaksesi kyberturvallisuuttasi yleisesti.

Mitä tulee siihen, mitä yritys itse on tehnyt korjatakseen tämän pitkään jatkuneen asiakkaiden luottamuksen ja tietojen loukkauksen, se on sanonut vain, "Olemme ryhtyneet toimiin ottaaksemme käyttöön lisäsuojatoimia järjestelmiimme, mukaan lukien vahvistamalla edelleen turvavalvontaamme, todennusta ja koodausta."

Ottaen huomioon, että See Tickets sai ilmoituksen rikkomuksesta alun perin jonkun muun toimesta, sen jälkeen, kun hän ei ollut huomannut sitä kahteen ja puoleen vuoteen, et voi kuvitella, että yritykseltä menisi kovin paljon väittävät "vahvistavansa" turvavalvontaansa, mutta ilmeisesti se on tehnyt.

Mitä tulee neuvoihin, jotka on jaettu asiakkailleen See Ticketsissä, tämä tiivistyy kahteen asiaan: tarkista tilinpäätöksesi säännöllisesti ja varo tietojenkalasteluviestejä, jotka yrittävät huijata sinua luovuttamaan henkilökohtaisia ​​tietoja.

Nämä ovat tietysti hyviä ehdotuksia, mutta tietojenkalastelulta suojautuminen ei olisi tässä tapauksessa vaikuttanut mitenkään, koska kaikki varastetut henkilötiedot on otettu suoraan laillisilta verkkosivuilta, joilla huolelliset asiakkaat olisivat varmistaneet vierailleensa alun perin.

Mitä tehdä?

Älä ole kyberturvallisuuden hidasvalmentaja: varmista, että omat uhkien havaitsemis- ja reagointimenettelysi ovat TTP:n tahdissa (työkalut, tekniikat ja menettelyt) kyberalamaailmasta.

Roistot kehittävät jatkuvasti käyttämiään temppuja, jotka menevät paljon pidemmälle kuin vanhan koulun tekniikka eli vain uusien haittaohjelmien kirjoittaminen.

Itse asiassa monet kompromissit nykyään tuskin (tai eivät) käytä haittaohjelmia ollenkaan, koska ne ovat ns. ihmisen johtamia hyökkäyksiä jossa rikolliset yrittävät luottaa niin pitkälle kuin mahdollista järjestelmänhallintatyökaluihin, jotka ovat jo saatavilla verkossasi.

Roistoilla on a laaja valikoima TTP:itä ei vain haittaohjelmakoodin suorittamiseen, vaan myös:

• Sisäänpääsy aluksi.
• Varpailla ympäri verkkoa kun he ovat sisällä.
• Jää huomaamatta niin kauan kuin mahdollista.
• Verkoston kartoittaminen ja nimeämiskäytäntösi sekä tiedät ne itse.
• Suunnittelemme ovelia tapoja päästä takaisin myöhemmin jos potkaisit heidät ulos.

Tämäntyyppinen hyökkääjä tunnetaan yleisesti nimellä an aktiivinen vastustaja, mikä tarkoittaa, että he ovat usein yhtä käytännönläheisiä kuin omat järjestelmänvalvojasi ja pystyvät sulautumaan laillisiin toimintoihin niin paljon kuin voivat:

Pelkästään rikollisten mahdollisesti istuttamien haittaohjelmien poistaminen ei riitä.

Sinun on myös tarkistettava heidän mahdollisesti tekemänsä kokoonpano- tai toiminnalliset muutokset siltä varalta, että he ovat avanneet piiloon takaoven, jonka kautta he (tai muut roistot, joille he myyvät tietojaan myöhemmin) voivat vaeltaa takaisin. myöhemmin vapaana.

Muista, kuten haluamme sanoa Naked Security podcast, vaikka tiedämme sen olevan klisee kyberturvallisuus on matka, ei määränpää.

Jos sinulla ei ole tarpeeksi aikaa tai asiantuntemusta jatkaaksesi tuota matkaa yksin, älä pelkää hakea apua niin kutsutun MDR:n (hallittu havaitseminen ja reagointi), jossa yhdistät a luotettu ryhmä kyberturvallisuuden asiantuntijoita auttaa pitämään omat tietomurtosi numerot selvästi Spinal Tap-tyyppisen "11" alapuolella.

---