Laporan: Jaringan Penipuan Massive Terungkap, Menargetkan Groupon & Penjual Tiket Online


Tim peneliti vpnMentor, yang dipimpin oleh Noam Rotem dan Ran Locar, baru-baru ini diekspos operasi kriminal besar-besaran yang telah menipu Groupon dan vendor tiket online utama lainnya setidaknya sejak 2016.

Sebagai bagian dari proyek penelitian pemetaan web yang lebih besar, kami menemukan cache 17 juta email pada database yang tidak aman. Penelitian awal kami menunjukkan bahwa pelanggaran data adalah hasil dari kerentanan dalam platform pemrosesan tiket yang digunakan oleh Groupon dan vendor tiket online lainnya..

Namun, setelah diselidiki lebih lanjut, kami mulai mencurigai perusahaan kriminal yang lebih luas mungkin sedang bermain. Kami telah bekerja pada banyak pelanggaran basis data yang serupa, dan aspek-aspek tertentu dari yang ini tidak bertambah. Setelah menghubungi Groupon dengan keprihatinan kami, sepenuhnya apa yang kami temukan terungkap.

Basis data milik jaringan kriminal yang canggih. Sejak 2016, Mereka telah menggunakan a kombinasi email, kartu kredit, dan penipuan tiket terhadap Groupon, Ticketmaster, dan banyak vendor lainnya.

Groupon telah mencoba untuk menutup operasi ini turun sejak dimulai, tetapi telah terbukti tangguh.

Bekerja bersama dengan tim keamanan Groupon, sekarang mungkin kita miliki kunci untuk menutup operasi kriminal sekali dan untuk semua.

Batas Waktu Penemuan dan Investigasi

Investigasi kami terhadap database ini, bekerja sama dengan Groupon, telah dilakukan sedang berlangsung selama beberapa minggu sekarang. Ini diharapkan untuk penemuan ukuran dan keseriusan ini.

Kadang-kadang terjadi bahwa tingkat pelanggaran data dan pemilik data jelas, dan masalah ini dengan cepat terselesaikan. Tetapi jarang kali ini. Paling sering, kita perlu investigasi berhari-hari sebelum kita memahami apa yang dipertaruhkan atau siapa yang membocorkan data.

Dalam kasus ini, kami awalnya mencurigai kerentanan di Neuroticket, sistem pengiriman yang ditautkan ke database. Butuh waktu cukup lama bagi tim kami untuk menemukan data apa pun di program, karena tidak ada jejak di mana pun di internet, kecuali untuk halaman otentikasi dan di dalam basis data.

Bahkan setelah kami memutuskan untuk mengikuti petunjuk ini, kami menyadari bahwa sebagian besar data tidak masuk akal. Kami memutuskan untuk menyelidiki lebih lanjut, meskipun kami telah mengungkapkan temuan kami kepada perusahaan hosting dan Ticketmaster, berpikir mereka mengetahui masalah ini..

Pada akhirnya, kami harus membatalkan hasil penelitian awal kami dan menulis laporan baru, untuk mencerminkan ruang lingkup dari apa yang kami temukan.

Memahami pelanggaran dan apa yang dipertaruhkan membutuhkan perhatian dan waktu yang cermat. Beberapa perusahaan yang terkena dampak menyangkal fakta, mengabaikan penelitian kami, jadi kami harus teliti dan memastikan semua yang kami temukan benar dan benar.

Kami bekerja keras menerbitkan laporan yang akurat dan dapat dipercaya, untuk memastikan semua orang yang membacanya memahami keseriusan mereka. Inilah sebabnya kami memutuskan untuk menulis ulang seluruh laporan ini, agar lebih mencerminkan minggu-minggu penyelidikan kami.

Apa Yang Kami Temukan

Selama proyek pemetaan web rutin, Noam, Ran & tim menemukan pelanggaran dalam database besar-besaran. Isinya 17 juta catatan dan 1,2 terabyte data - sejumlah besar informasi.

Pelanggaran tampaknya memberikan akses ke detail pribadi siapa pun yang membeli tiket dari situs web menggunakan Neuroticket. Awalnya, kami yakin kerentanan ini membahayakan pelanggan di situs web ini. 

Kebocoran itu mencakup banyak ruang acara dan tempat kecil yang independen di seluruh AS. Ini termasuk:

  • Balet Barat Laut Pasifik
  • Joffrey Ballet, Chicago
  • Balet Kota Kansas
  • Phillips Center, Orlando
  • Teater Fox, Georgia
  • Ballet Austin, Austin
  • Balet Colorado, Denver

Dua dari vendor tiket internet terbesar juga terpengaruh: Ticketmastermaster & Centang.

Namun, 90% dari database melibatkan catatan dari situs web kupon dan diskon populer Groupon, totalnya 16 juta. Ini dapat dijelaskan oleh buletin Groupon dan email promosi, dikirim hingga 5 kali per hari, per pelanggan.

Berikut adalah 2 contoh entri dalam database:

Laporan: Jaringan Penipuan Massive Terungkap, Menargetkan Groupon & Penjual Tiket OnlineLaporan: Jaringan Penipuan Massive Terungkap, Menargetkan Groupon & Penjual Tiket Online

Catatan Mencurigakan

Menemukan informasi apa pun di Neuroticket terbukti sulit. Mengingat perangkat lunak itu tampak populer, ia bahkan tidak memiliki situs web.

Sementara itu, kami mulai curiga banyak alamat email di database itu palsu. Untuk menguji teori ini, kami secara acak memilih 10 alamat email dan menghubungi pemilik yang jelas. Hanya satu orang yang menjawab kami.

Akhirnya, kami menghubungi Groupon, karena mereka menyumbang 90% dari email di database, menyajikan temuan dan kecurigaan kami kepada tim keamanan mereka. Saat itulah kami mempelajari sifat sebenarnya dari penemuan kami.

Mengungkap Jaringan

Setelah menyerahkan hasil penelitian kami ke Groupon, mereka dapat menganalisis database sendiri, referensi silang dengan informasi dari sistem internal mereka.

Pada saat ini, Tim keamanan Groupon menghubungkan database ini ke jaringan kriminal yang mereka kejar sejak 2016.

Tahun itu, operasi kriminal membuka 2 juta akun penipuan di Groupon. Dengan kartu kredit curian, mereka menggunakan akun untuk membeli tiket di situs, dan kemudian menjualnya kembali ke orang yang tidak bersalah secara online.

Groupon telah dapat menutup sebagian besar akun, Tapi tidak semua dari mereka. Operasi tetap tangguh, meskipun ada kerja bagus oleh perusahaan. Estimasi Chief Information Security Officer (CISO) Groupon jumlah akun penipuan dalam jaringan yang kami bantu temukan mencapai setinggi 20.000.

Bekerja bersama dengan tim riset kami, Groupon telah mampu melakukannya menganalisis data dan akhirnya membidik seluruh jaringan kriminal.

Dari awal proses ini, CISO Groupon telah menjadi sangat kooperatif, proaktif, dan profesional. Namun, pada titik tertentu mereka berhenti membalas, dan kami dibiarkan tanpa jawaban.

Bagaimana Penipuan itu Bekerja

Operasi memantau kotak masuk email mereka yang ditautkan dengan akun penipuan, memfilter email yang relevan ke dalam basis data Elastisearch untuk dianalisis. Dari sana, mereka tiket diekstraksi dari email - dalam bentuk PDF untuk Groupon, misalnya - dan mengabaikan email yang tidak relevan lainnya.

Mereka kemudian, menurut Groupon, menjual kembali tiket ini kepada anggota masyarakat yang tidak menaruh curiga.

Juga termasuk dalam basis data yang dilanggar adalah email dukungan dan log obrolan dari Groupon, mengenai pengembalian uang yang diberikan kepada pelanggan. 

Ini bukti lebih lanjut bahwa database sebenarnya tidak terkait dengan vendor tiket yang terkena dampak atau Groupon. Sebaliknya, ia menyarankan agar basis data ditautkan ke kotak masuk email milik pihak independen - dalam hal ini, pemilik basis data.

Twist Ironic

Saat melakukan penelitian mereka, tim kami menemukan catatan tebusan khusus yang tertanam dalam database.

Mengklaim telah mengekstraksi informasi dari database, itu menuntut tebusan $ 400 dalam bentuk Bitcoin, sebagai imbalan karena tidak merilis data yang dicuri ke publik dan kemudian menghapusnya.

Kelihatannya, setidaknya satu peretas kriminal telah meretas basis data. Tidak mengerti apa yang mereka temukan, mereka mencoba memeras pemiliknya.

Ini adalah masalah yang diketahui dengan banyak database terbuka. Biasanya dipicu oleh skrip otomatis dan tidak secara manual oleh manusia.

Dampak Penipuan

Groupon telah menghabiskan 3 tahun untuk menyelidiki dan mengejar jaringan kriminal ini. Pada waktu itu, mereka menginvestasikan waktu, uang, dan sumber daya mencoba mematikannya.

Penipuan yang dilakukan menggunakan database ini memiliki tidak diragukan lagi biaya pendapatan perusahaan yang signifikan.

Dengan seluruh operasi akhirnya terbuka, mereka bisa matikan untuk selamanya.

Bagaimana dan Mengapa Kami Menemukan Pelanggaran Data ini

Kami menemukan data ini bocor sebagai bagian dari proyek pemetaan web berskala besar kami yang sedang berlangsung. Ran dan Noam memindai port internet untuk mencari blok IP yang dikenal dan menggunakan blok ini untuk menemukan lubang di sistem web perusahaan. Setelah lubang ini ditemukan, tim mencari kerentanan yang akan mengarah pada pelanggaran data.

Ketika mereka menemukan data yang bocor, mereka menggunakan beberapa teknik ahli untuk memverifikasi identitas basis data.

Sebagai peretas etis, kami biasanya menjangkau pemilik basis data atau situs web yang terpengaruh dan menguraikan kelemahan keamanan yang kami temukan. Dalam hal ini, kami memutuskan untuk menghubungi Groupon dan vendor tiket lainnya.

Kami juga memikul tanggung jawab kepada publik. Jika memungkinkan, kami juga akan memberi tahu pihak lain yang terkena dampak pelanggaran, seperti pelanggan, klien, atau pengguna situs web.

Tujuan dari latihan ini adalah untuk membantu membuat internet lebih aman untuk semua orang.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka. 

Kami baru-baru ini menemukan pelanggaran data besar yang berdampak pada 80 juta rumah tangga AS. Kami juga mengungkapkan bahwa pelanggaran di Biostar 2 membahayakan data biometrik lebih dari 1 juta orang. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Berbicara tentang keamanan dan kupon, Anda mungkin ingin memeriksa halaman “kupon VPN terbaik” kami. Kami tidak dapat membongkar situs Anda, tetapi kami dapat membantu Anda melindungi PC Anda.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me