A „See” online jegyértékesítő céget 2.5 évre védték a támadók

A See Tickets az online rendezvényjegy-üzletág jelentős globális szereplője: fesztiválokra, színházi előadásokra, koncertekre, klubokra, koncertekre és még sok másra adnak el jegyeket.

A cég most elismerte egy jelentős adatszivárgást, amely legalább egy jellemzője megegyezik a hírhedt rockelőadók által kedvelt erősítőkkel. Spinal Tap: „A számok 11-ig terjednek, mindenhol.”

Azon e-mail sablon szerint, amelyet a See Tickets használt az ügyfelekhez eljuttatott levélkép létrehozásához (köszönhetően Phil Muncaster Az Infosecurity Magazine egy linkért a A Montana Igazságügyi Minisztérium webhelye hivatalos példányra) a jogsértés, annak felfedezése, kivizsgálása és orvoslása (amelyek még mindig nem fejeződtek be, így ez még a 12-ig terjedhet) a következőképpen bontakozott ki:

• 2019-06-25. Legkésőbb erre az időpontra a kiberbűnözők nyilvánvalóan adatlopó kártevőket ültettek be a cég által üzemeltetett rendezvények pénztári oldalaira. (A veszélyeztetett adatok között szerepelt: név, cím, irányítószám, fizetési kártyaszám, kártya lejárati dátuma és CVV-szám.)
• 2021-04. Lásd: Jegyek „figyelmeztetést kaptunk olyan tevékenységre, amely potenciálisan jogosulatlan hozzáférésre utalt”.
• 2021-04. Vizsgálat indult egy kiberbűnügyi szakértő cég bevonásával.
• 2022-01-08. Az illetéktelen tevékenységet végül leállítják.
• 2022-09-12. Lásd Tickets, végül befejezi a támadást „jogosulatlan hozzáférést eredményezhetett” a fizetési kártya adataihoz.
• 2022-10. (A nyomozás folyamatban van.) Lásd a Tickets szerint „Nem vagyunk biztosak abban, hogy érintették az Ön adatait”, de értesíti az ügyfeleket.

Egyszerűen fogalmazva, a jogsértés több mint két és fél évig tartott, mielőtt egyáltalán észrevették, de nem maga a See Tickets.

A jogsértés ezután még kilenc hónapig folytatódott, mielőtt megfelelően észlelték és orvosolták, és a támadókat kirúgták.

A cég ezután még nyolc hónapot várt, mielőtt elfogadta, hogy az adatokat „lehet” ellopták.

Lásd Tickets, mint várt még egy hónapot, mielőtt értesítette az ügyfeleket, elismerve, hogy még mindig nem tudta, hány ügyfél veszített adatot a jogsértés miatt.

Még most is, jóval több mint három évvel a legkorábbi dátum után, amikor a támadókról ismert volt, hogy a See Ticket rendszereiben tartózkodtak (bár a támadás alapjai amennyire tudjuk, ezt megelőzhették), a vállalat még mindig nem zárta le nyomozást, így még további rossz hírek jöhetnek.

Mi a következő?

A See Tickets értesítő e-mail tartalmaz néhány tanácsot, de elsősorban azt a célt szolgálja, hogy elmondja, mit tehet saját maga érdekében, hogy általánosságban javítsa kiberbiztonságát.

Ami azt illeti, hogy a vállalat mit tett az ügyfelek bizalmának és az adatokkal kapcsolatos régóta tartó megsértése ellen, annyit mondott: „Lépéseket tettünk annak érdekében, hogy további biztosítékokat helyezzünk el rendszereinken, többek között biztonsági felügyeletünk, hitelesítésünk és kódolásunk további megerősítésével.”

Tekintettel arra, hogy a See Tickets-et eleve valaki más figyelmeztette a jogsértésre, miután két és fél évig nem vette észre, elképzelni sem tudja, hogy sok időbe telik, hogy a társaság meg tudja tenni. azt állítják, hogy „megerősítik” a biztonsági felügyeletét, de láthatóan megtette.

Ami a See Tickets ügyfelei számára kiosztott tanácsot illeti, ez két dologra vezethető vissza: rendszeresen ellenőrizze pénzügyi kimutatásait, és figyeljen az adathalász e-mailekre, amelyek megpróbálják személyes adatok átadására csalni.

Ezek természetesen jó javaslatok, de az adathalászat elleni védekezés ebben az esetben nem jelentett volna semmit, mivel az ellopott személyes adatok közvetlenül olyan legitim weboldalakról származtak, amelyeket a gondos ügyfelek először is meglátogattak volna.

Mit kell tenni?

Ne legyen kiberbiztonsági lassú edző: győződjön meg arról, hogy saját fenyegetésészlelési és -válasz eljárásai lépést tartanak a TTP-kkel (eszközök, technikák és eljárások) a kiberalvilág.

A szélhámosok folyamatosan fejlesztik az általuk használt trükköket, amelyek jóval túlmutatnak a régi iskola technikáján, vagyis egyszerűen új rosszindulatú programokat írnak.

Valójában manapság sok kompromisszum alig (vagy egyáltalán nem) használ rosszindulatú programokat, mivel az ún. ember által irányított támadások amelyben a bűnözők a lehető legnagyobb mértékben a hálózatán már elérhető rendszeradminisztrációs eszközökre próbálnak támaszkodni.

A szélhámosoknak van a TTP-k széles választéka nem csak rosszindulatú programkód futtatásához, hanem:

• Betörés Kezdeni.
• Lábujjhegyen körbejárni a hálózatot ha már bent vannak.
• Észrevétlen marad ameddig csak lehet.
• A hálózat feltérképezése és az elnevezési konvencióidat, valamint magad is ismered őket.
• Alattomos módszerek kialakítása, amennyire csak tudnak, hogy később visszatérhessenek ha kirúgja őket.

Az ilyen típusú támadókat általában an aktív ellenfél, ami azt jelenti, hogy gyakran ugyanolyan gyakorlatiasak, mint a saját rendszergazdái, és amennyire csak tudnak, képesek beleolvadni a legális műveletekbe:

A csalók által beültetett rosszindulatú programok eltávolítása nem elegendő.

Ezenkívül át kell tekintenie az általuk végrehajtott konfigurációs vagy működési változtatásokat is, arra az esetre, ha egy rejtett hátsó ajtót nyitottak volna meg, amelyen keresztül ők (vagy bármely más szélhámos, akinek később eladják tudásukat) visszakerülhetnek. később kedvük szerint.

Ne feledje, ahogy szeretjük mondani a Naked Security podcast, bár tudjuk, hogy ez közhely, az A kiberbiztonság egy utazás, nem pedig egy úti cél.

Ha nincs elég ideje vagy szakértelme ahhoz, hogy egyedül haladjon tovább ezen az úton, ne féljen segítséget kérni az úgynevezett MDR-hez (irányított észlelés és válaszadás), ahol összeáll a kiberbiztonsági szakértők megbízható csoportja hogy a saját adatvédelmi incidens tárcsáit jóval a Spinal Tap-szerű „11” alatt tartsa.

---