Online-billettselskapet "See" har tjent i 2.5 år av angripere

See Tickets er en stor global aktør innen billettvirksomheten på nett: de vil selge deg billetter til festivaler, teaterforestillinger, konserter, klubber, spillejobber og mye mer.

Selskapet har nettopp innrømmet et stort datainnbrudd som deler minst én karakteristikk med forsterkerne foretrukket av beryktede rockeartister spinal Tap: "alle tallene går til 11, over hele linja."

I henhold til e-postmalen som See Tickets brukte for å generere e-postmeldingen som gikk til kunder (takk til Phil Muncaster av Infosecurity Magazine for en lenke til Montanas nettsted for justisdepartementet for en offisiell kopi), bruddet, dets oppdagelse, dets etterforskning og utbedring (som fortsatt ikke er fullført, så denne kan ennå gå helt til 12) utfoldet seg som følger:

• 2019-06-25. Senest på denne datoen hadde nettkriminelle tilsynelatende implantert skadelig programvare som stjeler data på utsjekkingssider som drives av selskapet. (Data i fare er inkludert: navn, adresse, postnummer, betalingskortnummer, kortets utløpsdato og CVV-nummer.)
• 2021-04. Se billetter "ble varslet om aktivitet som indikerer potensiell uautorisert tilgang".
• 2021-04. Etterforskning startet, som involverer et cyberetterforskningsfirma.
• 2022-01-08. Uautorisert aktivitet blir endelig stengt.
• 2022-09-12. Se Tickets konkluderer til slutt med det angrepet "kan ha resultert i uautorisert tilgang" til betalingskortinformasjon.
• 2022-10. (Undersøkelse pågår.) Se Tickets sier "Vi er ikke sikre på at informasjonen din ble påvirket", men varsler kundene.

Enkelt sagt varte bruddet mer enn to og et halvt år før det ble oppdaget i det hele tatt, men ikke av See Tickets selv.

Bruddet fortsatte deretter i ni måneder til før det ble riktig oppdaget og utbedret, og angriperne ble sparket ut.

Selskapet ventet deretter ytterligere åtte måneder før de godtok at data "kan" ha blitt stjålet.

Se billetter enn ventet en måned til før de varslet kundene, og innrømmet at de fortsatt ikke visste hvor mange kunder som hadde mistet data i bruddet.

Selv nå, godt over tre år etter den tidligste datoen da angriperne er kjent for å ha vært i See Tickets systemer (selv om grunnlaget for angrepet kan ha vært før dette, for alt vi vet), har selskapet fortsatt ikke konkludert med etterforskning, så det kan fortsatt komme flere dårlige nyheter.

Hva nå?

See Tickets-varslings-e-posten inneholder noen råd, men den er først og fremst rettet mot å fortelle deg hva du kan gjøre for deg selv for å forbedre cybersikkerheten din generelt.

Når det gjelder å fortelle deg hva selskapet selv har gjort for å gjøre opp for dette langvarige bruddet på kundenes tillit og data, er alt det har sagt, "Vi har tatt skritt for å implementere ytterligere sikkerhetstiltak på systemene våre, inkludert ved å ytterligere styrke vår sikkerhetsovervåking, autentisering og koding."

Gitt at See Tickets ble varslet om bruddet av noen andre i utgangspunktet, etter å ha unnlatt å legge merke til det i to og et halvt år, kan du ikke forestille deg at det ville ta veldig mye for selskapet å kunne legge ut hevder å "styrke" sikkerhetsovervåkingen, men det har den tilsynelatende gjort.

Når det gjelder rådene Se billetter som deles ut til kundene sine, koker dette ned til to ting: sjekk regnskapet regelmessig, og pass på phishing-e-poster som prøver å lure deg til å utlevere personlig informasjon.

Dette er selvfølgelig gode forslag, men å beskytte deg selv mot phishing ville ikke ha gjort noen forskjell i dette tilfellet, gitt at eventuelle personlige data som ble stjålet ble tatt direkte fra legitime nettsider som forsiktige kunder ville ha sørget for at de besøkte i utgangspunktet.

Hva gjør jeg?

Ikke vær en cybersecurity slowcoach: sørg for at dine egne trusseldeteksjons- og responsprosedyrer holder tritt med TTPene (verktøy, teknikker og prosedyrer) av cyberunderverdenen.

Skurkene utvikler kontinuerlig triksene de bruker, som går langt utover den gamle skoleteknikken med å skrive ny skadelig programvare.

Faktisk bruker mange kompromisser i disse dager nesten ikke (eller bruker ikke) skadelig programvare i det hele tatt, det er det som er kjent som menneskestyrte angrep der de kriminelle prøver å stole så langt de kan på systemadministrasjonsverktøy som allerede er tilgjengelig på nettverket ditt.

Skurkene har en bredt utvalg av TTP-er ikke bare for å kjøre skadevarekode, men også for:

• Innbrudd til å begynne med.
• Går rundt i nettverket når de først er inne.
• Blir uoppdaget så lenge som mulig.
• Kartlegge nettverket ditt og navnekonvensjonene dine så vel som du kjenner dem selv.
• Setter opp fordekte måter de kan for å komme inn igjen senere hvis du sparker dem ut.

Denne typen angriper er generelt kjent som en aktiv motstander, noe som betyr at de ofte er like praktiske som dine egne systemadministratorer, og i stand til å blande seg inn med legitime operasjoner så mye de kan:

Bare å fjerne eventuell skadelig programvare skurkene kan ha implantert er ikke nok.

Du må også gjennomgå eventuelle konfigurasjons- eller driftsendringer de kan ha gjort, også i tilfelle de har åpnet opp en skjult bakdør som de (eller andre kjeltringer som de selger til på sin kunnskap senere) kan være i stand til å vandre tilbake. senere på fritiden.

Husk, som vi liker å si på Podcast for naken sikkerhet, selv om vi vet at det er en klisje, det cybersikkerhet er en reise, ikke et mål.

Hvis du ikke har nok tid eller ekspertise til å fortsette denne reisen på egenhånd, ikke vær redd for å ta kontakt med det som kalles MDR (administrert deteksjon og respons), hvor du slår deg sammen med en pålitelig gruppe av nettsikkerhetseksperter for å hjelpe deg med å holde dine egne datainnbruddsskiver godt under en Spinal Tap-lignende "11".

---