See Tickets is een grote wereldspeler in de online ticketing business voor evenementen: ze verkopen je tickets voor festivals, theatershows, concerten, clubs, optredens en nog veel meer.
Het bedrijf heeft zojuist een groot datalek toegegeven dat minstens één kenmerk deelt met de versterkers die favoriet zijn bij beruchte rockartiesten spinal Tap: "de nummers gaan allemaal naar 11, over de hele linie."
Volgens het e-mailsjabloon dat See Tickets heeft gebruikt om de mailing te genereren die naar klanten is gegaan (dankzij Phil Muncaster van Infosecurity Magazine voor een link naar de Montana Ministerie van Justitie website voor een officieel exemplaar), ontvouwde de inbreuk, de ontdekking, het onderzoek en de herstel ervan (die nog steeds niet zijn voltooid, dus deze kan nog helemaal tot 12 gaan) als volgt:
- 2019-06-25. Uiterlijk op deze datum hadden cybercriminelen blijkbaar malware voor het stelen van gegevens geïmplanteerd op de afrekenpagina's van evenementen die door het bedrijf werden beheerd. (Risicogegevens inbegrepen: naam, adres, postcode, betaalkaartnummer, kaartvervaldatum en CVV-nummer.)
- 2021-04. Tickets bekijken "werd gewaarschuwd voor activiteit die wijst op mogelijke ongeautoriseerde toegang".
- 2021-04. Onderzoek gestart, waarbij een cyberforensisch bedrijf betrokken is.
- 2022-01-08. Ongeautoriseerde activiteit wordt uiteindelijk stopgezet.
- 2022-09-12. See Tickets concludeert eindelijk die aanval “kan hebben geleid tot ongeautoriseerde toegang” naar betaalkaartgegevens.
- 2022-10. (Onderzoek loopt.) Zie Tickets zegt "we weten niet zeker of uw informatie is aangetast", maar stelt klanten op de hoogte.
Simpel gezegd, de inbreuk duurde meer dan twee en een half jaar voordat het werd opgemerkt, maar niet door See Tickets zelf.
De inbreuk duurde vervolgens nog negen maanden voordat deze correct werd gedetecteerd en verholpen, en de aanvallers werden eruit gegooid.
Het bedrijf wachtte vervolgens nog eens acht maanden voordat het accepteerde dat gegevens "mogelijk" zijn gestolen.
Zie Tickets wachtte toen nog een maand voordat ze klanten op de hoogte brachten, en gaf toe dat het nog steeds niet wist hoeveel klanten gegevens hadden verloren door de inbreuk.
Zelfs nu, ruim drie jaar na de vroegste datum waarvan bekend is dat de aanvallers zich in de systemen van See Ticket bevonden (hoewel de basis voor de aanval misschien van vóór dit was, voor zover we weten), heeft het bedrijf zijn onderzoek, dus er kan nog meer slecht nieuws komen.
Wat nu?
De notificatie-e-mail van See Tickets bevat wat advies, maar het is vooral bedoeld om u te vertellen wat u zelf kunt doen om uw cyberbeveiliging in het algemeen te verbeteren.
Wat betreft het vertellen wat het bedrijf zelf heeft gedaan om deze langdurige inbreuk op het vertrouwen en de gegevens van klanten goed te maken, is alles wat het heeft gezegd: "We hebben stappen ondernomen om extra veiligheidsmaatregelen op onze systemen te implementeren, onder meer door onze beveiligingsmonitoring, authenticatie en codering verder te versterken."
Gezien het feit dat See Tickets in de eerste plaats door iemand anders op de inbreuk werd gewezen, na het tweeënhalf jaar niet opgemerkt te hebben, kun je je niet voorstellen dat het heel veel zou kosten voordat het bedrijf in staat zou zijn om aanspraak maken op het "versterken" van zijn beveiligingstoezicht, maar blijkbaar is dat het geval.
Wat betreft het advies van See Tickets dat aan haar klanten wordt uitgedeeld, komt dit neer op twee dingen: controleer regelmatig uw jaarrekening en pas op voor phishing-e-mails die u proberen te misleiden om persoonlijke informatie te overhandigen.
Dit zijn natuurlijk goede suggesties, maar jezelf beschermen tegen phishing zou in dit geval geen verschil hebben gemaakt, aangezien alle gestolen persoonlijke gegevens rechtstreeks afkomstig waren van legitieme webpagina's die zorgvuldige klanten zouden hebben gecontroleerd.
Wat te doen?
Wees geen slowcoach op het gebied van cyberbeveiliging: zorg ervoor dat uw eigen procedures voor het detecteren en reageren van bedreigingen gelijke tred houden met de TTP's (hulpmiddelen, technieken en procedures) van de cyberonderwereld.
De boeven ontwikkelen voortdurend de trucs die ze gebruiken, die veel verder gaan dan de ouderwetse techniek van het simpelweg schrijven van nieuwe malware.
Inderdaad, veel compromissen gebruiken tegenwoordig nauwelijks (of helemaal geen) malware, wat bekend staat als door mensen geleide aanvallen waarin de criminelen zoveel mogelijk proberen te vertrouwen op systeembeheertools die al beschikbaar zijn op uw netwerk.
De boeven hebben een breed scala aan TTP's niet alleen voor het uitvoeren van malwarecode, maar ook voor:
- Inbreken om te beginnen met.
- Op je tenen rond het netwerk als ze eenmaal binnen zijn.
- Onopgemerkt blijven zo lang mogelijk.
- Uw netwerk in kaart brengen en uw naamgevingsconventies net zo goed als u ze zelf kent.
- Het opzetten van stiekeme manieren als ze kunnen om later terug te komen als je ze eruit gooit.
Dit soort aanvallers staat algemeen bekend als een actieve tegenstander, wat betekent dat ze vaak net zo praktisch zijn als uw eigen systeembeheerders, en in staat zijn om zoveel mogelijk op te gaan in legitieme operaties:
Alleen het verwijderen van malware die de boeven hebben geïmplanteerd, is niet genoeg.
Je moet ook eventuele configuratie- of operationele wijzigingen bekijken die ze mogelijk hebben gemaakt, voor het geval ze een verborgen achterdeur hebben geopend waardoor ze (of andere boeven aan wie ze hun kennis later verkopen) mogelijk terug kunnen dwalen later op hun gemak.
Onthoud, zoals we graag zeggen op de Naakte beveiliging podcast, ook al weten we dat het een cliché is, dat cyberbeveiliging is een reis, geen bestemming.
Als je niet genoeg tijd of expertise hebt om die reis alleen voort te zetten, wees dan niet bang om hulp te zoeken bij wat bekend staat als MDR (beheerde detectie en reactie), waar je samenwerkt met a vertrouwde groep cyberbeveiligingsexperts om te helpen uw eigen datalek-wijzerplaten ruim onder een Spinal Tap-achtige "11" te houden.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- datalek
- Data Loss
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Tickets bekijken
- VPN
- Webmalware
- website veiligheid
- zephyrnet
![S3 Ep103: Scammers in the Slammer (en andere verhalen) [Audio + tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Oplichters in de Slammer (en andere verhalen) [Audio + Tekst]")
![S3 aflevering 104: Moeten ransomware-aanvallers in ziekenhuizen levenslang worden opgesloten? [Audio + tekst] PlatoBlockchain-gegevensintelligentie. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Moeten ransomware-aanvallers in ziekenhuizen levenslang worden opgesloten? [Audio + tekst]")
![S3 aflevering 100.5: Uber-inbreuk – een expert spreekt [Audio + Tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/1005-csezlaw-1200-360x188.png "S3 Ep100.5: Uber-inbreuk - een expert spreekt [Audio + Text]")