Công ty bán vé trực tuyến “See” bị những kẻ tấn công tấn công trong 2.5 năm

See Tickets là một công ty toàn cầu lớn trong ngành kinh doanh bán vé sự kiện trực tuyến: họ sẽ bán cho bạn vé tham dự các lễ hội, chương trình sân khấu, buổi hòa nhạc, câu lạc bộ, hợp đồng biểu diễn và hơn thế nữa.

Công ty vừa thừa nhận một vụ vi phạm dữ liệu lớn có chung ít nhất một đặc điểm với các bộ khuếch đại được các nghệ sĩ biểu diễn nhạc rock khét tiếng ưa chuộng Spinal Tap: "Tất cả các con số đều chuyển thành 11, ngay trên bảng."

Theo mẫu email mà Xem Vé sử dụng để tạo ảnh chụp thư gửi đến khách hàng (nhờ Phil Muncaster của Tạp chí Infosecurity để có liên kết đến Trang web của Bộ Tư pháp Montana đối với một bản sao chính thức), vi phạm, phát hiện, điều tra và khắc phục (vẫn chưa kết thúc, vì vậy, điều này có thể chưa đến hết 12) được mở ra như sau:

• 2019-06-25. Chậm nhất là vào ngày này, tội phạm mạng dường như đã cấy phần mềm độc hại đánh cắp dữ liệu trên các trang kiểm tra sự kiện do công ty điều hành. (Dữ liệu có rủi ro bao gồm: tên, địa chỉ, mã zip, số thẻ thanh toán, ngày hết hạn thẻ và số CVV.)
• 2021-04. Xem vé "Đã được cảnh báo về hoạt động cho thấy có khả năng truy cập trái phép".
• 2021-04. Cuộc điều tra được khởi động, có sự tham gia của một công ty lâm nghiệp mạng.
• 2022-01-08. Hoạt động trái phép cuối cùng đã bị đóng cửa.
• 2022-09-12. Xem Vé cuối cùng cũng kết thúc cuộc tấn công đó "Có thể đã dẫn đến truy cập trái phép" đến thông tin thẻ thanh toán.
• 2022-10. (Đang điều tra.) Xem Tickets cho biết "Chúng tôi không chắc thông tin của bạn bị ảnh hưởng", nhưng thông báo cho khách hàng.

Nói một cách đơn giản, vi phạm đã kéo dài hơn hai năm rưỡi trước khi nó được phát hiện, nhưng không phải bởi chính See Tickets.

Sau đó, vụ vi phạm tiếp tục kéo dài thêm XNUMX tháng trước khi nó được phát hiện và khắc phục đúng cách, và những kẻ tấn công đã đuổi ra ngoài.

Sau đó, công ty đã đợi thêm tám tháng trước khi chấp nhận rằng dữ liệu "có thể" đã bị đánh cắp.

See Tickets đã đợi thêm một tháng trước khi thông báo cho khách hàng, thừa nhận rằng hãng vẫn không biết bao nhiêu khách hàng đã bị mất dữ liệu trong vụ vi phạm.

Ngay cả bây giờ, hơn ba năm sau ngày sớm nhất mà những kẻ tấn công được biết là đã ở trong hệ thống của See Ticket (mặc dù cơ sở cho cuộc tấn công có thể đã có trước điều này, đối với tất cả những gì chúng ta biết), công ty vẫn chưa kết luận điều tra, vì vậy có thể có nhiều tin xấu hơn sẽ đến.

Tiếp theo là gì?

Email thông báo của See Tickets bao gồm một số lời khuyên, nhưng chủ yếu nhằm mục đích cho bạn biết bạn có thể làm gì cho bản thân để cải thiện an ninh mạng của mình nói chung.

Theo như việc cho bạn biết bản thân công ty đã làm gì để bù đắp cho sự vi phạm lâu dài này đối với sự tin tưởng và dữ liệu của khách hàng, tất cả những gì nó đã nói là, “Chúng tôi đã thực hiện các bước để triển khai các biện pháp bảo vệ bổ sung vào hệ thống của mình, bao gồm bằng cách tăng cường hơn nữa việc giám sát bảo mật, xác thực và mã hóa của chúng tôi.”

Cho rằng See Tickets đã được cảnh báo về vi phạm bởi người khác ngay từ đầu, sau khi không nhận thấy nó trong hai năm rưỡi, bạn không thể tưởng tượng rằng công ty sẽ phải mất rất nhiều thời gian mới có thể tuyên bố "tăng cường" giám sát an ninh của nó, nhưng rõ ràng là nó đã có.

Đối với lời khuyên See Tickets đưa ra cho khách hàng của mình, điều này tóm tắt ở hai điều: kiểm tra báo cáo tài chính của bạn thường xuyên và đề phòng các email lừa đảo cố gắng lừa bạn chuyển giao thông tin cá nhân.

Tất nhiên, đây là những gợi ý hay, nhưng việc bảo vệ bạn khỏi lừa đảo sẽ không có gì khác biệt trong trường hợp này, vì mọi dữ liệu cá nhân bị đánh cắp đều được lấy trực tiếp từ các trang web hợp pháp mà những khách hàng cẩn thận sẽ đảm bảo rằng họ đã truy cập ngay từ đầu.

Phải làm gì?

Đừng trở thành kẻ chậm chạp về an ninh mạng: hãy đảm bảo rằng các quy trình phát hiện và phản ứng mối đe dọa của riêng bạn bắt kịp với các TTP (công cụ, kỹ thuật và thủ tục) của thế giới mạng.

Những kẻ lừa đảo đang liên tục phát triển các thủ thuật mà chúng sử dụng, vượt xa kỹ thuật cũ của trường học là chỉ đơn giản là viết phần mềm độc hại mới.

Thật vậy, nhiều thỏa hiệp ngày nay hầu như không (hoặc không) sử dụng phần mềm độc hại, được gọi là các cuộc tấn công do con người dẫn đầu trong đó bọn tội phạm cố gắng dựa càng nhiều càng tốt vào các công cụ quản trị hệ thống đã có sẵn trên mạng của bạn.

Kẻ gian có một nhiều loại TTP không chỉ để chạy mã phần mềm độc hại, mà còn để:

• Đột nhập Để bắt đầu.
• Nhón chân vòng quanh mạng một khi họ tham gia.
• Đi không bị phát hiện càng lâu càng tốt.
• Lập bản đồ mạng của bạn và các quy ước đặt tên của bạn cũng như bạn biết chúng.
• Thiết lập các cách lén lút để chúng có thể quay lại sau nếu bạn đuổi chúng đi.

Loại kẻ tấn công này thường được gọi là đối thủ tích cực, có nghĩa là chúng thường thực hành như sysadmins của riêng bạn và có thể hòa nhập với các hoạt động hợp pháp nhiều nhất có thể:

Chỉ xóa bất kỳ phần mềm độc hại nào mà kẻ gian có thể đã cấy vào là không đủ.

Bạn cũng cần phải xem lại bất kỳ thay đổi cấu hình hoặc hoạt động nào mà họ có thể đã thực hiện, trong trường hợp họ đã mở một cửa sau ẩn mà qua đó họ (hoặc bất kỳ kẻ gian nào khác mà họ bán sau này biết được) có thể quay trở lại sau đó khi họ rảnh rỗi.

Hãy nhớ rằng, như chúng tôi muốn nói trên Podcast bảo mật khỏa thân, mặc dù chúng tôi biết đó là một câu nói sáo rỗng, nhưng an ninh mạng là một cuộc hành trình, không phải là một điểm đến.

Nếu bạn không có đủ thời gian hoặc kiến ​​thức chuyên môn để tự mình tiếp tục hành trình đó, đừng ngại liên hệ với sự trợ giúp về cái được gọi là MDR (phát hiện và phản hồi được quản lý), nơi bạn hợp tác với nhóm chuyên gia an ninh mạng đáng tin cậy để giúp giữ cho các mặt số vi phạm dữ liệu của riêng bạn tốt hơn bên dưới “11” giống như Spinal Tap.

---