Online-biljettföretaget "See" har angripits i 2.5 år

See Tickets är en stor global aktör inom evenemangsbiljettbranschen online: de säljer biljetter till festivaler, teaterföreställningar, konserter, klubbar, spelningar och mycket mer.

Företaget har just erkänt ett stort dataintrång som delar minst en egenskap med förstärkarna som gynnas av ökända rockartister spinal Tap: "alla siffror går till 11, över hela linjen."

Enligt e-postmallen som See Tickets använde för att generera mailshotet som gick till kunder (tack vare Phil Muncaster av Infosecurity Magazine för en länk till Montana Department of Justice webbplats för en officiell kopia), intrånget, dess upptäckt, dess undersökning och åtgärdande (som fortfarande inte är avslutade, så denna kan ännu gå hela vägen till 12) utvecklades enligt följande:

• 2019-06-25. Senast vid detta datum hade cyberbrottslingar uppenbarligen implanterat skadlig programvara som stjäl data på utcheckningssidor som drivs av företaget. (Data i riskzonen ingår: namn, adress, postnummer, betalkortsnummer, kortets utgångsdatum och CVV-nummer.)
• 2021-04. Se biljetter "varades för aktivitet som indikerar potentiell obehörig åtkomst".
• 2021-04. Utredning inledd med ett cyberkriminaltekniskt företag.
• 2022-01-08. Otillåten aktivitet stängs äntligen av.
• 2022-09-12. Se Tickets avslutar äntligen den attacken "kan ha resulterat i obehörig åtkomst" till betalkortsinformation.
• 2022-10. (Utredning pågår.) Se Tickets säger "vi är inte säkra på att din information har påverkats", men meddelar kunderna.

Enkelt uttryckt varade intrånget i mer än två och ett halvt år innan det alls upptäcktes, men inte av See Tickets själv.

Intrånget fortsatte sedan i nio månader till innan det upptäcktes och åtgärdades ordentligt och angriparna sparkades ut.

Företaget väntade sedan ytterligare åtta månader innan de accepterade att data "kan" ha stulits.

See Tickets väntade en månad till innan de meddelade kunderna och medgav att de fortfarande inte visste hur många kunder som hade förlorat data i intrånget.

Till och med nu, långt över tre år efter det tidigaste datum då angriparna är kända för att ha varit i See Tickets system (även om grunden för attacken kan ha föregått detta, vad vi vet), har företaget fortfarande inte avslutat sitt utredning, så det kan komma ännu fler dåliga nyheter.

Vad nästa?

E-postmeddelandet om See Tickets innehåller några råd, men det är främst inriktat på att berätta vad du kan göra för dig själv för att förbättra din cybersäkerhet i allmänhet.

När det gäller att berätta vad företaget självt har gjort för att kompensera för denna långvariga kränkning av kundernas förtroende och data, är allt det har sagt, "Vi har vidtagit åtgärder för att implementera ytterligare säkerhetsåtgärder på våra system, inklusive genom att ytterligare stärka vår säkerhetsövervakning, autentisering och kodning."

Med tanke på att See Tickets uppmärksammades på intrånget av någon annan i första hand, efter att ha misslyckats med att märka det i två och ett halvt år, kan du inte föreställa dig att det skulle ta särskilt mycket för företaget att kunna lägga hävdar att de "stärker" sin säkerhetsövervakning, men det har den tydligen gjort.

När det gäller råden Se biljetter som delas ut till sina kunder, så handlar det om två saker: kontrollera dina bokslut regelbundet och se upp för nätfiske-e-postmeddelanden som försöker lura dig att lämna över personlig information.

Det här är naturligtvis bra förslag, men att skydda dig mot nätfiske skulle inte ha gjort någon skillnad i det här fallet, med tanke på att eventuella personuppgifter som stulits togs direkt från legitima webbsidor som noggranna kunder skulle ha sett till att de besökte i första hand.

Vad göra?

Var inte en slowcoach för cybersäkerhet: se till att dina egna procedurer för upptäckt och reaktion av hot håller jämna steg med TTP:erna (verktyg, tekniker och procedurer) av cyberundervärlden.

Skurvarna utvecklar ständigt tricken de använder, som går långt utöver den gamla skolans teknik att helt enkelt skriva ny skadlig programvara.

Faktum är att många kompromisser nuförtiden knappt (eller inte) använder skadlig programvara alls, vilket är så kallat människoledda attacker där brottslingarna försöker förlita sig så långt de kan på systemadministrationsverktyg som redan finns tillgängliga på ditt nätverk.

Skurvarna har en brett utbud av TTP:er inte bara för att köra skadlig kod utan också för:

• Bryter in till att börja med.
• Tågande runt nätverket när de väl är inne.
• Blir oupptäckt så länge som möjligt.
• Kartlägga ditt nätverk och dina namnkonventioner så väl som du känner till dem själv.
• Skapar lömska sätt som de kan för att komma in igen senare om du sparkar ut dem.

Denna typ av angripare är allmänt känd som en aktiv motståndare, vilket innebär att de ofta är lika praktiska som dina egna systemadministratörer och kan smälta in med legitima operationer så mycket de kan:

Det räcker inte att bara ta bort eventuell skadlig kod som skurkarna kan ha implanterat.

Du måste också granska eventuella konfigurations- eller driftsändringar som de kan ha gjort också, i fall de har öppnat en dold bakdörr genom vilken de (eller andra skurkar som de säljer till med sin kunskap senare) kan vandra tillbaka in senare på deras fritid.

Kom ihåg, som vi gillar att säga på Podcasten Naken Security, även om vi vet att det är en kliché, det cybersäkerhet är en resa, inte en destination.

Om du inte har tillräckligt med tid eller expertis för att fortsätta gå vidare med den resan på egen hand, var inte rädd för att söka hjälp med det som kallas MDR (hanterad upptäckt och svar), där du slår dig ihop med en pålitlig grupp av experter på it-säkerhet för att hjälpa till att hålla dina egna dataintrångsrattar långt under en Spinal Tap-liknande "11".

---