Włamanie na Ticketmaster

[Grandalf]

Ticketmaster, popularny serwis sprzedający bilety na różne imprezy, ogłosił, że padł ofiarą ataku włamywaczy. Skradzione mogły zostać nie tylko dane osobowe klientów, ale także dane dotyczące transakcji finansowych zawieranych w celu zakupu biletów.

Do skrzynek klientów Ticketmastera zaczęły dzisiaj trafiać emaile zawierające niepokojące wiadomości. W przeciwieństwie do większości ostatnich wycieków danych, tym razem przestępcom oprócz danych klientów prawdopodobnie udało się także ukraść dane transakcji płatniczych.

Komunikat Ticketmastera

W dość obszernym komunikacie Ticketmastera rozsyłanym do niektórych klientów oraz na

Zaloguj lub Zarejestruj się aby zobaczyć!

możemy znaleźć kilka wskazówek co do charakteru ataku i jego możliwych skutków. Firma wskazuje, ze wektorem ataku było dodanie złośliwego kodu do produktu strony trzeciej, firmy Inbenta. Złośliwy kod miał wykradać dane klientów brytyjskiego oddziału Ticketmaster w momencie gdy dokonywali transakcji zakupu biletów. Z komunikacji z klientami wiemy, że atak mógł mieć miejsce między wrześniem 2017 a czerwcem 2018, co daje całe 10 miesięcy. Na podstawie dostępnych informacji obstawiamy, że na stronie obsługującej płatności Ticketmastera przestępcom udało się dodać złośliwy kod JavaScript, który kopiował na zewnętrzny serwer dane podawane przez osoby dokonujące płatności. Dokładnie ten rodzaj ataku

Zaloguj lub Zarejestruj się aby zobaczyć!

w naszym serwisie. Firma wydaje się nie być pewna, czy wyciek nie dotknął także klientów innych oddziałów.

Dostałem emaila, co mam robić

Po pierwsze zalecamy przejrzenie wstecz wyciągów z karty użytej na stronie Ticketmaster do zakupu biletów. Jeśli tego nie robicie regularnie, zacznijcie – ta porada dotyczy w zasadzie każdego posiadacza karty płatniczej. Naprawdę warto przeglądać wyciągi – a osoby, które dostały emaila od Ticketmastera, mają do tego większą motywację. Warto także zmienić hasło na Ticketmaster oraz wszędzie tam, gdzie używaliście tego samego.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Aktualizacja - Opis przebiegu incydentu

Niedawno opisaliśmy wyciek danych klientów firmy Ticketmaster. Okazuje się, że historia warta jest jest głębszego poznania, ponieważ Ticketmaster popełnił wiele błędów – ale lepiej uczyć się na cudzych pomyłkach niż własnych.

Przypomnijmy – Ticketmaster, popularny w wielu krajach serwis sprzedający bilety, poinformował swoich klientów, że jeżeli dokonywali transakcji między wrześniem 2017 a czerwcem 2018, to ich

Zaloguj lub Zarejestruj się aby zobaczyć!

. Autorzy komunikatu zapomnieli jednak wspomnieć, że o incydencie powinni wiedzieć od lutego, kwietnia i maja, bo szans mieli wiele.

Przebieg incydentu
Ticketmaster używał bezpośrednio na swojej stronie WWW usługi firmy Inbenta, zapewniającej możliwość czatu z klientami. Skrypty Inbenta były wczytywane z serwerów dostawcy. Ktoś w lutym 2018 włamał się na te serwery i dodał do skryptu Ticketmastera dodatkową linijkę kodu, która wykradała dane transakcji i przesyłała na zewnętrzny serwer. Mechanizm przestępców działał do 23 czerwca 2018.

Sygnały z lutego 2018
Jak

Zaloguj lub Zarejestruj się aby zobaczyć!

, już 14 lutego niektóre firmy antywirusowe oraz zajmujące się filtrowaniem ruchu w sieci zaczęły wykrywać plik z dodaną linijką złośliwego kodu jako niebezpieczny. Niestety najwyraźniej nikt nie zwrócił na ten fakt uwagi.

Zgłoszenie z kwietnia 2018
Nadużycia związane z płatnościami za pomocą kart kredytowych są zmorą banków, ale z drugiej strony istnieją dość proste narzędzia pomagające wykryć źródło wycieku informacji. Jeśli duży bank widzi falę reklamacji klientów dotyczącą nieautoryzowanych transakcji wykonanych za pomocą ich kart, to porównując, gdzie ofiary nadużyć robiły ostatnio zakupy, może szybko ustalić podmiot odpowiedzialny za wyciek. Nie wymaga to żadnych zaawansowanych mechanizmów detekcji i pomaga szybko informować podmioty, które padły ofiarą włamywaczy. Co ciekawe, z reguły te informacje nie trafiają do wiedzy ogółu, bank wymienia karty, sklep łata dziury lub usuwa rosyjskich hakerów ze swojej sieci i życie toczy się dalej. Przykład Ticketmastera pokazuje jednak, że nie zawsze wszystko dzieje się według tego samego scenariusza.

Monzo, nowoczesny brytyjski fintech typu „bank w komórce”,

Zaloguj lub Zarejestruj się aby zobaczyć!

, że już 6 kwietnia 2018 wykrył incydent powiązany z wyciekiem danych kartowych z Ticketmastera. Ok. 50 klientów banku zgłosiło tego dnia nadużycia na swoich rachunkach, a szybka analiza wykazała, że 70% tych klientów użyło swojej karty do zakupów w Tickemasterze między grudniem 2017 a kwietniem 2018. Incydent został zgłoszony do Secret Service. Z uwagi na kolejne nieautoryzowane transakcje odbywające się według tego samego wzorca Monzo skontaktował się bezpośrednio z Ticketmasterem. Pracownicy Ticketmastera nawet odwiedzili siedzibę Monzo, by porozmawiać o incydencie. Monzo wymieniło karty tym swoim klientom, którzy płacili w Ticketmasterze.

​

Co zrobił Ticketmaster? Przeprowadził śledztwo i… nie natrafił na ślady wycieku.

Zgłoszenie z maja
Jeden z internautów

Zaloguj lub Zarejestruj się aby zobaczyć!

, obsługującego czat dla klientów. Zgłaszający wskazał, że dane osobowe i finansowe klientów Tickemastera lądują na serwerze w ZEA. W odpowiedzi usłyszał… że wszystko jest w porządku, a moduł służy do czatu. Nikt nie zajął się na poważnie jego zgłoszeniem.

​

Nie bądźcie jak Ticketmaster
Ticketmaster dostał od losu co najmniej trzy szanse na wcześniejsze wykrycie incydentu. Niestety z żadnej z nich nie skorzystał. Przyjrzyjcie się procesom w swojej firmie i zastanówcie, czy np. osoby obsługujące Twittera będą potrafiły prawidłowo rozpoznać zgłoszenie podobnego błędu na Waszej stronie. I lepiej zróbcie to, zanim zostaniecie bohaterami naszego artykułu

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!