Spletno podjetje za prodajo vstopnic "See", ki so ga 2.5 leti lovili napadalci

See Tickets je pomemben globalni igralec pri prodaji vstopnic za spletne dogodke: prodali vam bodo vstopnice za festivale, gledališke predstave, koncerte, klube, nastope in še veliko več.

Podjetje je pravkar priznalo večjo kršitev podatkov, ki ima vsaj eno značilnost kot ojačevalci, ki jih imajo radi razvpiti rock izvajalci spinal Tap: "Vse številke gredo do 11, prav čez tablo."

Glede na e-poštno predlogo, ki jo je See Tickets uporabil za ustvarjanje poštnega sporočila, ki je bilo poslano strankam (zahvaljujoč Phil Muncaster revije Infosecurity za povezavo do Spletno mesto Ministrstva za pravosodje Montane za uradno kopijo), se je kršitev, njeno odkritje, preiskava in sanacija (ki še vedno ni končana, tako da bi ta lahko prišla še do 12) razpletla takole:

• 2019-06-25. Najpozneje do tega datuma so kibernetski kriminalci očitno vsadili zlonamerno programsko opremo za krajo podatkov na strani za preverjanje dogodkov, ki jih vodi podjetje. (Vključeni so ogroženi podatki: ime, naslov, poštna številka, številka plačilne kartice, datum poteka kartice in številka CVV.)
• 2021-04. Glej Vstopnice "je bil opozorjen na dejavnost, ki kaže na potencialni nepooblaščen dostop".
• 2021-04. Začela se je preiskava, ki vključuje kiberforenzično podjetje.
• 2022-01-08. Nepooblaščena dejavnost je končno zaprta.
• 2022-09-12. See Tickets končno zaključi ta napad »morda je prišlo do nepooblaščenega dostopa« do podatkov o plačilni kartici.
• 2022-10. (Preiskava poteka.) Glej Tickets pravi "nismo prepričani, da je to vplivalo na vaše podatke", vendar obvesti stranke.

Preprosto povedano, kršitev je trajala več kot dve leti in pol, preden so jo sploh opazili, vendar ne sam See Tickets.

Kršitev se je nato nadaljevala še devet mesecev, preden so jo ustrezno odkrili in odpravili, napadalce pa izgnali.

Podjetje je nato čakalo še osem mesecev, preden je sprejelo, da so bili podatki "morda" ukradeni.

See Tickets je čakal še en mesec, preden je obvestil stranke, in priznal, da še vedno ne ve, koliko strank je izgubilo podatke zaradi kršitve.

Celo zdaj, več kot tri leta po najzgodnejšem datumu, ko je znano, da so bili napadalci v sistemih See Ticket (čeprav so bili temelji za napad morda pred tem, kolikor vemo), podjetje še vedno ni zaključilo preiskavo, tako da lahko pride še več slabih novic.

Kaj je naslednje?

E-poštno sporočilo z obvestilom See Tickets vključuje nekaj nasvetov, vendar je njegov namen predvsem povedati, kaj lahko storite zase, da izboljšate svojo kibernetsko varnost na splošno.

Kar se tiče tega, kaj je podjetje samo naredilo, da bi nadomestilo to dolgoletno kršitev zaupanja strank in podatkov, je vse, kar je povedalo, "Sprejeli smo korake za uvedbo dodatnih zaščitnih ukrepov v naše sisteme, vključno z nadaljnjo krepitvijo našega nadzora varnosti, avtentikacije in kodiranja."

Glede na to, da je See Tickets na kršitev opozoril nekdo drug, potem ko tega ni opazil dve leti in pol, si ne morete predstavljati, da bi bilo potrebno veliko časa, da bi podjetje lahko položilo trdi, da "okrepi" svoje varnostno spremljanje, vendar očitno je.

Kar zadeva nasvete, ki jih See Tickets deli svojim strankam, se to skrči na dve stvari: redno preverjajte svoje finančne izkaze in pazite na e-poštna sporočila z lažnim predstavljanjem, ki vas poskušajo zavesti, da bi predali osebne podatke.

To so seveda dobri predlogi, toda zaščita pred lažnim predstavljanjem v tem primeru ne bi imela nobene razlike, glede na to, da so bili vsi ukradeni osebni podatki vzeti neposredno z zakonitih spletnih strani, za katere bi skrbne stranke poskrbele, da so jih sploh obiskale.

Kaj storiti?

Ne bodite počasni trener kibernetske varnosti: poskrbite, da bodo vaši lastni postopki za odkrivanje groženj in odziv nanje v koraku s TTP-ji (orodja, tehnike in postopki) kibernetskega podzemlja.

Prevaranti nenehno razvijajo trike, ki jih uporabljajo, ki močno presegajo staro šolo preprostega pisanja nove zlonamerne programske opreme.

Številni kompromisi dandanes skorajda ne uporabljajo (ali sploh ne) zlonamerne programske opreme, ki je znana kot napadi, ki jih vodijo ljudje v katerem se kriminalci skušajo čim bolj zanesti na sistemska skrbniška orodja, ki so že na voljo v vašem omrežju.

Prevaranti imajo a široko paleto TTP ne le za izvajanje kode zlonamerne programske opreme, ampak tudi za:

• Vdori noter za začetek.
• Hodanje na prstih po mreži ko so noter.
• Neodkriti čim dlje.
• Preslikava vašega omrežja in vaše konvencije poimenovanja tako dobro, kot jih poznate sami.
• Pripravijo zahrbtne načine, kako se lahko pozneje vrnejo če jih vržeš ven.

Ta vrsta napadalca je splošno znana kot aktivni nasprotnik, kar pomeni, da so pogosto prav tako praktični kot vaši lastni sistemski skrbniki in se lahko čim bolj zlijejo z zakonitimi operacijami:

Samo odstranitev kakršne koli zlonamerne programske opreme, ki so jo morda vsadili prevaranti, ni dovolj.

Prav tako morate pregledati morebitne konfiguracijske ali operativne spremembe, ki so jih morda naredili, če so odprli skrita stranska vrata, skozi katera se lahko (ali kateri koli drugi prevaranti, ki jim bodo kasneje prodali svoje znanje) vrnejo nazaj kasneje v prostem času.

Ne pozabite, kot radi rečemo na Podcast Naked Security, čeprav vemo, da je kliše, da kibernetska varnost je potovanje in ne cilj.

Če nimate dovolj časa ali strokovnega znanja, da bi sami nadaljevali s to potjo, se ne bojte poiskati pomoči pri tako imenovanem MDR (upravljano odkrivanje in odziv), kjer se združite z a zaupanja vredna skupina strokovnjakov za kibernetsko varnost za pomoč pri ohranjanju vaših lastnih številčnic zaradi vdora podatkov precej pod številko 11, podobno hrbtenici.

---