在线票务公司“See”被攻击者控制了 2.5 年

See Tickets 是在线活动票务业务的主要全球参与者：他们将向您出售节日、戏剧表演、音乐会、俱乐部、演出等的门票。

该公司刚刚承认发生了一起重大数据泄露事件，该事件与臭名昭著的摇滚乐手所青睐的放大器具有至少一个共同特征 脊髓塔: “这些数字全都变成了 11。”

根据 See Tickets 用于生成发送给客户的邮件的电子邮件模板（感谢 菲尔·芒卡斯特 Infosecurity 杂志的链接 蒙大拿州司法部网站 对于官方副本），违规，发现，调查和补救（仍未完成，因此可能一直到12）展开如下：

• 2019-06 25。 最迟到这个日期，网络犯罪分子显然已经在公司运行的活动结账页面上植入了数据窃取恶意软件。 （有风险的数据包括：姓名、地址、邮政编码、支付卡号、卡到期日和 CVV 号。）
• 2021-04。 查看门票 “被警告有活动表明潜在的未经授权的访问”.
• 2021-04。 已启动调查，涉及一家网络取证公司。
• 2022-01 08。 未经授权的活动最终被关闭。
• 2022-09 12。 见票终于断定攻击 “可能导致未经授权的访问” 到支付卡信息。
• 2022-10。 （调查正在进行中。）见门票说 “我们不确定您的信息是否受到影响”，但会通知客户。

简而言之，该漏洞持续了两年半多才被发现，但不是由 See Tickets 本身发现的。

然后，违规行为又持续了九个月，然后才被正确检测和修复，攻击者被踢了出去。

然后，该公司又等了八个月才接受数据“可能”已被盗。

See Tickets 比通知客户多等了一个月，承认它仍然不知道有多少客户在违规事件中丢失了数据。

即使是现在，距离已知攻击者最早出现在 See Ticket 系统中的时间已经过去了三年多（尽管据我们所知，攻击的基础可能早于此），该公司仍未结束调查，因此可能还会有更多坏消息。

接下来是什么？

See Tickets 通知电子邮件包含一些建议，但主要目的是告诉您可以为自己做些什么来改善您的网络安全。

至于告诉你公司本身做了什么来弥补这种长期违反客户信任和数据的行为，它所说的只是， “我们已采取措施在我们的系统上部署额外的保护措施，包括进一步加强我们的安全监控、身份验证和编码。”

鉴于 See Tickets 一开始就被其他人警告了违规行为，在两年半没有注意到它之后，你无法想象公司需要花费很多时间才能铺设声称“加强”其安全监控，但显然它已经做到了。

至于 See Tickets 向其客户提供的建议，这归结为两件事：定期检查您的财务报表，并注意试图诱骗您交出个人信息的网络钓鱼电子邮件。

当然，这些都是很好的建议，但在这种情况下保护自己免受网络钓鱼不会有任何影响，因为任何被盗的个人数据都是直接从合法网页获取的，谨慎的客户会确保他们首先访问过这些网页。

怎么办呢？

不要成为网络安全慢教练：确保您自己的威胁检测和响应程序与 TTP 保持同步（工具、技术和程序) 的网络黑社会。

骗子不断改进他们使用的技巧，这些技巧远远超出了简单地编写新恶意软件的老派技术。

事实上，如今许多妥协几乎（或根本不）使用恶意软件，即所谓的 人为攻击 在这种情况下，犯罪分子会尽可能地依赖您网络上已有的系统管理工具。

骗子有一个 广泛的 TTP 不仅用于运行恶意软件代码，还用于：

• 闯入 首先。
• 蹑手蹑脚地绕过网络 一旦他们进来。
• 不被发现 尽可能长的时间。
• 规划您的网络 以及您自己的命名约定。
• 设置偷偷摸摸的方法，以便稍后再回来 如果你把他们踢出去。

这种攻击者通常被称为 积极的对手，这意味着他们通常与您自己的系统管理员一样亲力亲为，并且能够尽可能多地融入合法操作：

仅仅删除骗子可能植入的任何恶意软件是不够的。

您还需要检查他们可能所做的任何配置或操作更改，以防他们打开了一个隐藏的后门，他们（或任何其他他们后来根据他们的知识出售给他们的骗子）可能会通过该后门溜回去稍后在他们的空闲时间。

请记住，正如我们喜欢在 裸体安全播客，即使我们知道这是陈词滥调， 网络安全是一段旅程，而不是目的地.

如果您没有足够的时间或专业知识来独自继续推进这一旅程，请不要害怕就所谓的 MDR 寻求帮助（管理的检测和响应)，你与一个 值得信赖的网络安全专家组 以帮助将您自己的数据泄露拨号保持在类似于 Spinal Tap 的“11”以下。

---