Çevrimiçi biletleme şirketi “See”, saldırganlar tarafından 2.5 yıl boyunca rehin tutuldu

See Tickets, çevrimiçi etkinlik biletleme işinde önemli bir küresel oyuncudur: size festivallere, tiyatro gösterilerine, konserlere, kulüplere, konserlere ve çok daha fazlasına bilet satarlar.

Şirket, ünlü rock sanatçılarının tercih ettiği amplifikatörlerle en az bir özelliği paylaşan büyük bir veri ihlalini kabul etti. Spinal Tap: "Sayıların hepsi, tam tahtanın karşısında 11'e gidiyor."

Müşterilere giden posta görüntüsünü oluşturmak için kullanılan Biletleri Gör'ün e-posta şablonuna göre (teşekkürler Phil Muncaster için bir bağlantı için Infosecurity Magazine'in Montana Adalet Bakanlığı web sitesi resmi bir kopya için), ihlal, keşfi, soruşturması ve düzeltmesi (henüz bitmedi, bu yüzden bu henüz 12'ye kadar gidebilir):

• 2019-06-25. En geç bu tarihe kadar, siber suçlular, görünüşe göre şirket tarafından işletilen etkinlik kontrol sayfalarına veri çalan kötü amaçlı yazılımlar yerleştirmişti. (Risk altındaki veriler şunları içerir: isim, adres, posta kodu, ödeme kartı numarası, kartın son kullanma tarihi ve CVV numarası.)
• 2021-04. Biletleri Gör “potansiyel yetkisiz erişime işaret eden aktiviteye karşı uyarıldı”.
• 2021-04. Bir siber adli tıp firmasını içeren soruşturma başlatıldı.
• 2022-01-08. Yetkisiz etkinlik sonunda kapatıldı.
• 2022-09-12. Biletleri Gör sonunda bu saldırıyı sonuçlandırdı “yetkisiz erişime neden olmuş olabilir” ödeme kartı bilgilerine.
• 2022-10. (Soruşturma devam ediyor.) Biletlere Bakın diyor "Bilgilerinizin etkilendiğinden emin değiliz", ancak müşterilere bildirir.

Basitçe söylemek gerekirse, ihlal tespit edilmeden önce iki buçuk yıldan fazla sürdü, ancak See Tickets'ın kendisi tarafından değil.

İhlal, düzgün bir şekilde tespit edilip düzeltilmeden önce dokuz ay daha devam etti ve saldırganlar dışarı atıldı.

Şirket daha sonra verilerin çalınmış olabileceğini kabul etmeden önce sekiz ay daha bekledi.

İhlalde kaç müşterinin veri kaybettiğini hala bilmediğini kabul ederek, müşterileri bilgilendirmeden önce bir ay daha bekledikten sonra Biletleri görün.

Saldırganların See Ticket'in sistemlerinde bulunduğu bilinen en erken tarihten üç yıldan uzun bir süre sonra bile (her ne kadar bildiğimiz kadarıyla, saldırının temeli bundan önceye dayanmış olsa da), şirket hâlâ kararını vermiş değil. soruşturma, bu yüzden daha kötü haberler gelebilir.

Sırada ne var?

Biletleri Gör bildirim e-postası bazı tavsiyeler içerir, ancak öncelikle genel olarak siber güvenliğinizi geliştirmek için kendiniz için neler yapabileceğinizi söylemeyi amaçlar.

Müşteri güveni ve verilerinin uzun süredir devam eden bu ihlalini telafi etmek için şirketin kendisinin ne yaptığını size söylemekle ilgili olarak, söylediği tek şey, "Güvenlik izleme, kimlik doğrulama ve kodlamamızı daha da güçlendirmek de dahil olmak üzere sistemlerimize ek korumalar yerleştirmek için adımlar attık."

See Tickets'ın ihlal konusunda ilk etapta bir başkası tarafından uyarıldığı göz önüne alındığında, iki buçuk yıl boyunca bunu fark etmedikten sonra, şirketin yatabilmesinin çok fazla zaman alacağını hayal edemezsiniz. güvenlik izlemesini “güçlendirdiğini” iddia ediyor, ancak görünüşe göre var.

Müşterilerine verilen Biletleri Gör tavsiyesine gelince, bu iki şeye indirgenir: mali tablolarınızı düzenli olarak kontrol edin ve kişisel bilgileri vermeniz için sizi kandırmaya çalışan kimlik avı e-postalarına dikkat edin.

Bunlar elbette iyi önerilerdir, ancak çalınan kişisel verilerin doğrudan doğruya dikkatli müşterilerin ziyaret ettiğinden emin olacakları yasal web sayfalarından alındığı göz önüne alındığında, bu durumda kendinizi kimlik avına karşı korumak hiçbir şey değiştirmezdi.

Ne yapalım?

Yavaş bir siber güvenlik koçu olmayın: Kendi tehdit algılama ve yanıt prosedürlerinizin TTP'lere ayak uydurduğundan emin olun (araçlar, teknikler ve prosedürler) siber yeraltı dünyasının.

Dolandırıcılar, kullandıkları hileleri sürekli olarak geliştiriyor ve bu, eski usul basitçe yeni kötü amaçlı yazılım yazma tekniğinin çok ötesine geçiyor.

Gerçekten de, bugünlerde pek çok taviz, kötü amaçlı yazılımı neredeyse hiç kullanmıyor (veya hiç kullanmıyor). insan kaynaklı saldırılar suçluların ağınızda zaten mevcut olan sistem yönetim araçlarına olabildiğince güvenmeye çalıştıkları.

dolandırıcılar var geniş TTP yelpazesi yalnızca kötü amaçlı yazılım kodu çalıştırmak için değil, aynı zamanda:

• İçeri girme Ile başlamak.
• Ağda sessizce yürümek bir kez içeri girdiler.
• fark edilmeden gidiyor mümkün olduğu kadar uzun süre.
• Ağınızın haritasını çıkarmak ve sizin de bildiğiniz gibi adlandırma kurallarınız.
• Daha sonra geri dönmenin mümkün olduğu kadar sinsi yollar kurma eğer onları dışarı atarsan.

Bu tür saldırganlar genellikle aktif düşman, genellikle kendi sistem yöneticileriniz kadar uygulamalı oldukları ve mümkün olduğunca meşru işlemlere karışabilecekleri anlamına gelir:

Dolandırıcıların yerleştirmiş olabileceği kötü amaçlı yazılımları kaldırmak yeterli değildir.

Ayrıca, kendilerinin (veya daha sonra bilgilerini sattıkları diğer sahtekarların) geri dönebilecekleri gizli bir arka kapı açmaları durumunda, yapmış olabilecekleri yapılandırma veya operasyonel değişiklikleri de gözden geçirmeniz gerekir. daha sonra boş zamanlarında.

Unutma, üzerinde söylemeyi sevdiğimiz gibi Çıplak Güvenlik podcast'iklişe olduğunu bilsek de siber güvenlik bir yolculuktur, bir varış noktası değil.

Bu yolculukta kendi başınıza ilerlemeye devam etmek için yeterli zamanınız veya uzmanlığınız yoksa, MDR olarak bilinen şeyle ilgili yardım istemekten korkmayın (yönetilen algılama ve yanıt) ile takım kurduğunuz yer güvenilir siber güvenlik uzmanları grubu kendi veri ihlali aramalarınızı Spinal Tap benzeri bir "11" in çok altında tutmaya yardımcı olmak için.

---