Онлайн-билетную компанию «Видеть» взломали на 2.5 года злоумышленники

See Tickets — крупный мировой игрок в сфере продажи билетов на онлайн-мероприятия: они продадут вам билеты на фестивали, театральные представления, концерты, клубы, концерты и многое другое.

Компания только что призналась в серьезной утечке данных, которая имеет по крайней мере одну характеристику с усилителями, которые предпочитают известные рок-исполнители. спинномозговая пункция: «Все числа идут к 11, по всем направлениям».

Согласно шаблону электронной почты, который See Tickets использовал для создания письма, отправленного клиентам (благодаря Фил Манкастер журнала Infosecurity Magazine за ссылку на Веб-сайт Министерства юстиции Монтаны для официальной копии) нарушение, его обнаружение, расследование и исправление (которые еще не завершены, так что можно еще дойти до 12) разворачивались следующим образом:

• 2019-06-25. Не позднее этой даты киберпреступники, очевидно, внедрили вредоносное ПО для кражи данных на страницы оформления заказов, управляемые компанией. (К данным, подверженным риску, относятся: имя, адрес, почтовый индекс, номер платежной карты, дата истечения срока действия карты и номер CVV.)
• 2021-04. Посмотреть билеты «был предупрежден об активности, указывающей на потенциальный несанкционированный доступ».
• 2021-04. Начато расследование с участием фирмы, занимающейся киберкриминалистической экспертизой.
• 2022-01-08. Несанкционированная деятельность окончательно прекращена.
• 2022-09-12. See Tickets наконец приходит к выводу, что атака «могло привести к несанкционированному доступу» к данным платежной карты.
• 2022-10. (Расследование продолжается.) См. Tickets, говорит «мы не уверены, что ваша информация была затронута», но уведомляет клиентов.

Проще говоря, взлом длился более двух с половиной лет, прежде чем его вообще заметили, но не сама компания See Tickets.

Затем нарушение продолжалось еще девять месяцев, прежде чем оно было должным образом обнаружено и устранено, а злоумышленники ушли.

Затем компания подождала еще восемь месяцев, прежде чем признать, что данные «могли» быть украдены.

См. Tickets, затем подождал еще месяц, прежде чем уведомить клиентов, признав, что до сих пор не знает, сколько клиентов потеряли данные в результате взлома.

Даже сейчас, спустя более трех лет после самой ранней даты, когда, как известно, злоумышленники проникли в системы See Ticket (хотя, насколько нам известно, подготовка к атаке могла быть и раньше), компания до сих пор не завершила свое расследование. расследование, так что, возможно, впереди еще больше плохих новостей.

Что дальше?

Электронное письмо с уведомлением See Tickets содержит некоторые советы, но в первую очередь оно направлено на то, чтобы рассказать вам, что вы можете сделать для себя, чтобы улучшить свою кибербезопасность в целом.

Что касается того, что сама компания сделала, чтобы компенсировать это давнее нарушение доверия и данных клиентов, то все, что она сказала, это: «Мы предприняли шаги по внедрению дополнительных мер безопасности в наши системы, в том числе путем дальнейшего усиления мониторинга безопасности, аутентификации и кодирования».

Учитывая, что See Tickets была предупреждена о взломе кем-то другим, после того, как она не замечала этого в течение двух с половиной лет, вы не можете себе представить, что компании потребуется много времени, чтобы иметь возможность заявить о нарушении. утверждают, что «усилили» свой мониторинг безопасности, но, судя по всему, так и есть.

Что касается советов See Tickets, которые они раздают своим клиентам, то они сводятся к двум вещам: регулярно проверять свою финансовую отчетность и следить за фишинговыми электронными письмами, которые пытаются обманом заставить вас передать личную информацию.

Конечно, это хорошие предложения, но защита от фишинга в данном случае не имела бы никакого значения, учитывая, что любые украденные личные данные были взяты непосредственно с законных веб-страниц, которые осторожные клиенты должны были бы убедиться, что они посетили их в первую очередь.

Что делать?

Не будьте медлительным инструктором по кибербезопасности: убедитесь, что ваши собственные процедуры обнаружения угроз и реагирования идут в ногу с TTP (инструменты, методы и процедуры) киберпреступного мира.

Мошенники постоянно совершенствуют свои приемы, которые выходят далеко за рамки старой техники простого написания нового вредоносного ПО.

Действительно, многие системы взлома в наши дни практически не используют (или вообще не используют) вредоносное ПО, поскольку это так называемые вредоносные программы. атаки людей в котором преступники стараются, насколько это возможно, полагаться на инструменты системного администрирования, которые уже доступны в вашей сети.

У мошенников есть широкий спектр ТТП не только для запуска вредоносного кода, но и для:

• Взлом чтобы начать с.
• На цыпочках по сети как только они будут внутри.
• Остаться незамеченным как можно дольше.
• Составление карты вашей сети и ваши соглашения об именах так же хорошо, как вы их знаете.
• Придумывают хитрые способы вернуться позже. если вы их выгоните.

Этот тип злоумышленников обычно известен как активный противник, что означает, что они зачастую так же практичны, как и ваши собственные системные администраторы, и могут максимально вмешиваться в законные операции:

Просто удалить любое вредоносное ПО, которое могли внедрить мошенники, недостаточно.

Вам также необходимо просмотреть любые конфигурационные или эксплуатационные изменения, которые они могли внести, на случай, если они открыли скрытый черный ход, через который они (или любые другие мошенники, которым они позже продадут свои знания) смогут вернуться обратно. позже, на досуге.

Помните, как мы любим говорить на Подкаст «Голая безопасность», хотя мы знаем, что это клише, что кибербезопасность — это путешествие, а не пункт назначения.

Если у вас недостаточно времени или опыта, чтобы продолжать этот путь самостоятельно, не бойтесь обратиться за помощью с так называемой МЛУ (управляемое обнаружение и ответ), где вы объединяетесь с доверенная группа экспертов по кибербезопасности чтобы помочь сохранить ваши собственные показатели утечки данных значительно ниже «11», как в Spinal Tap.

---