Онлайн-компанія з продажу квитків «See» захоплена зловмисниками на 2.5 роки

See Tickets є головним глобальним гравцем у онлайн-бізнесі продажу квитків на події: вони продадуть вам квитки на фестивалі, театральні вистави, концерти, клуби, концерти та багато іншого.

Компанія щойно визнала серйозну витоку даних, яка має принаймні одну характеристику з підсилювачами, які віддають перевагу відомі рок-виконавці спинномозкова пункція: «усі цифри йдуть до 11 прямо на дошці».

Відповідно до шаблону електронної пошти, який See Tickets використовував для створення листів, які надійшли клієнтам (завдяки Філ Манкастер журналу Infosecurity за посиланням на Веб-сайт Департаменту юстиції Монтани для офіційної копії), порушення, його виявлення, розслідування та виправлення (які ще не завершені, тому цей ще може дійти до 12) розгорталися наступним чином:

• 2019-06-25. Найпізніше до цієї дати кіберзлочинці, очевидно, впровадили зловмисне програмне забезпечення для крадіжки даних на сторінки перевірки подій, якими керує компанія. (Дані під загрозою включають: ім’я, адресу, поштовий індекс, номер платіжної картки, термін дії картки та номер CVV.)
• 2021-04. Дивіться Квитки «отримав сповіщення про активність, яка вказує на потенційний несанкціонований доступ».
• 2021-04. Розпочато розслідування за участю фірми кіберкриміналістики.
• 2022-01-08. Несанкціоновану діяльність нарешті припинено.
• 2022-09-12. See Tickets нарешті завершує цю атаку «може призвести до несанкціонованого доступу» до інформації про платіжну картку.
• 2022-10. (Розслідування триває.) See Tickets каже «Ми не впевнені, що ваша інформація постраждала», але сповіщає клієнтів.

Простіше кажучи, злом тривав більше двох з половиною років, перш ніж його взагалі помітили, але не самим See Tickets.

Злом тривав ще дев’ять місяців, перш ніж його належним чином виявили та усунули, а зловмисників вигнали.

Потім компанія чекала ще вісім місяців, перш ніж визнати, що дані «можливо» були вкрадені.

See Tickets чекала ще один місяць, перш ніж повідомити клієнтів, визнаючи, що досі не знала, скільки клієнтів втратили дані в результаті порушення.

Навіть зараз, через три роки після першої відомої дати, коли зловмисники перебували в системах See Ticket (хоча, наскільки ми знаємо, підґрунтя для атаки, можливо, передували цьому), компанія досі не дійшла висновку розслідування, тому попереду може бути більше поганих новин.

Що далі?

Електронний лист зі сповіщенням See Tickets містить деякі поради, але в основному він спрямований на те, щоб розповісти вам, що ви можете зробити для себе, щоб покращити свою кібербезпеку в цілому.

Що стосується того, що сама компанія зробила, щоб компенсувати це тривале порушення довіри клієнтів і даних, все, що вона сказала, це: «Ми вжили заходів для розгортання додаткових засобів захисту в наших системах, у тому числі шляхом подальшого посилення моніторингу безпеки, автентифікації та кодування».

З огляду на те, що See Tickets спочатку попередив про порушення хтось інший після того, як він не помічав цього протягом двох з половиною років, ви не можете собі уявити, що компанії знадобиться дуже багато часу, щоб спромогтися закласти претендує на «посилення» моніторингу безпеки, але, очевидно, так і є.

Що стосується порад, які See Tickets роздає своїм клієнтам, то вони зводяться до двох речей: регулярно перевіряйте свою фінансову звітність і остерігайтеся фішингових електронних листів, які намагаються обманом змусити вас надати особисту інформацію.

Звичайно, це гарні пропозиції, але захист від фішингу в цьому випадку не мав би значення, враховуючи, що будь-які викрадені особисті дані були взяті безпосередньо з законних веб-сторінок, які уважні клієнти обов’язково відвідали.

Що ж робити?

Не будьте повільним тренером із кібербезпеки: переконайтеся, що ваші власні процедури виявлення загроз і реагування на них відповідають TTP (інструменти, техніки та процедури) кіберпідземного світу.

Шахраї постійно вдосконалюють трюки, якими вони користуються, які виходять далеко за рамки старовинної техніки простого написання нового шкідливого програмного забезпечення.

Дійсно, сьогодні багато компромісів майже не використовують (або взагалі не використовують) зловмисне програмне забезпечення, яке відоме як атаки, керовані людьми у якому злочинці намагаються покладатися, наскільки це можливо, на інструменти системного адміністрування, які вже доступні у вашій мережі.

У шахраїв є a широкий асортимент ТТП не лише для запуску шкідливого програмного коду, а й для:

• Проривання в щоб почати з.
• Ходить навшпиньках по мережі як тільки вони ввійдуть.
• Залишається непоміченим якомога довше.
• Складання карти вашої мережі і ваші домовленості про найменування так добре, як ви самі їх знаєте.
• Встановлення прихованих способів повернутися пізніше якщо ви їх виженете.

Цей тип зловмисників зазвичай відомий як активний противник, що означає, що вони часто такі ж практичні, як і ваші власні системні адміністратори, і здатні змішуватися з законними операціями настільки, наскільки це можливо:

Просто видалити будь-яке шкідливе програмне забезпечення, яке могли впровадити шахраї, недостатньо.

Вам також потрібно переглянути будь-які конфігураційні чи операційні зміни, які вони могли внести, на випадок, якщо вони відкрили прихований бекдор, через який вони (або будь-які інші шахраї, яким вони пізніше продадуть свої знання) зможуть повернутися назад пізніше на дозвіллі.

Пам'ятайте, як ми любимо говорити на Подкаст Naked Security, хоча ми знаємо, що це кліше кібербезпека – це подорож, а не пункт призначення.

Якщо у вас не вистачає часу чи досвіду, щоб продовжувати цю подорож самостійно, не бійтеся звернутися за допомогою до так званого МЛР (керованого виявлення та реагування), де ви об’єднуєтеся з a надійна група експертів з кібербезпеки щоб допомогти утримувати ваші власні циферблати витоку даних значно нижче «11», схожого на спінальний кран.

---