Rapportera: Massive Fraud Network Uncovered, Targeting Groupon & Online Ticket Vendors


vpnMentors forskargrupp, ledd av Noam Rotem och Ran Locar, avslöjade nyligen en massiv kriminell operation som har bedrat Groupon och andra stora online-biljettförsäljare åtminstone sedan 2016.

Som en del av ett större forskningsprojekt för webbkartläggning upptäckte vi en cache på 17 miljoner e-postmeddelanden i en osäker databas. Vår första forskning antydde att dataintrånget var ett resultat av en sårbarhet i en biljettbearbetningsplattform som används av Groupon och andra biljettförsäljare online.

Vid ytterligare undersökning, dock, Vi började misstänka ett bredare kriminellt företag kanske spelar. Vi har arbetat med många liknande databasöverträdelser, och vissa aspekter av detta har inte lagt till. Efter att ha kontaktat Groupon med våra bekymmer avslöjades hela omfattningen av vad vi avslöjade.

Databasen tillhörde ett sofistikerat kriminellt nätverk. Sedan 2016 har de använt en kombination av e-post, kreditkort och biljettbedrägeri mot Groupon, Ticketmaster och många andra leverantörer.

Groupon har försökt stänga av den här operationen ner sedan det började, men det har visat sig vara motståndskraftigt.

Vi kan nu ha samarbete med Groupons säkerhetsteam nyckeln till att stänga den kriminella operationen en gång för alla.

Upptäckt och undersökningstidslinje

Vår undersökning av denna databas, i samarbete med Groupon, har genomförts pågår i flera veckor nu. Detta kan förväntas för en upptäckt av denna storlek och allvar.

Det händer ibland att omfattningen av ett dataöverträdelse och ägaren av uppgifterna är uppenbar, och problemet löstes snabbt. Men sällsynta är dessa tider. Oftast, vi behöver dagar av utredning innan vi förstår vad som står på spel eller vem som läcker informationen.

I det här fallet misstänkte vi ursprungligen en sårbarhet i Neuroticket, ett e-postsystem kopplat till databasen. Det tog vårt team ganska länge att hitta information om programmet, eftersom det inte fanns några spår av det någonstans på internet, förutom en verifieringssida och inuti databasen..

Även efter att vi bestämde oss för att följa denna ledning, Vi insåg att de flesta av uppgifterna inte var vettiga. Vi beslutade att undersöka ytterligare, även om vi redan hade avslöjat våra resultat till värdföretaget och Ticketmaster och trodde att de var medvetna om problemet.

I slutet, vi var tvungna att skrapa våra första forskningsresultat och skriva en helt ny rapport, för att återspegla omfattningen av det vi hade upptäckt.

Att förstå ett brott och vad som står på spel tar noggrann uppmärksamhet och tid. Vissa berörda företag förnekar fakta och bortser från vår forskning, så vi måste vara noggranna och se till att allt vi finner är korrekt och sant.

Vi arbetar hårt med publicera exakta och pålitliga rapporter, för att säkerställa att alla som läser dem förstår deras allvar. Det är därför vi beslutade att skriva om hela rapporten för att bättre återspegla våra veckor med utredning.

Vad vi upptäckte

Under ett rutinmässigt webbkartläggningsprojekt, Noam, Ran & teamet upptäckte ett brott i en massiv databas. Den innehöll 17 miljoner poster och 1,2 terabyte data - en enorm mängd information.

Överträdelsen tycktes ge tillgång till personlig information om alla som köper biljetter från en webbplats använder Neuroticket. Ursprungligen trodde vi att denna sårbarhet kompromitterade kunderna på dessa webbplatser. 

Läckan inkluderade många små, oberoende händelserum och -platser över hela USA. Dessa inkluderade:

  • Pacific Northwest Ballet
  • Joffrey Ballet, Chicago
  • Kansas City Ballet
  • Dr. Phillips Center, Orlando
  • Fox Theatre, Georgia
  • Balett Austin, Austin
  • Colorado Ballet, Denver

Två av Internets största biljettförsäljare påverkades också: Ticketmaster & Tickpick.

dock, 90% av databasen involverade poster från den populära kupong- och rabattwebbplatsen Groupon, totalt 16 miljoner. Detta kan förklaras av Groupons nyhetsbrev och kampanjmeddelanden som skickas upp till 5 gånger per dag per kund.

Nedan finns två exempel på poster i databasen:

Rapportera: Massive Fraud Network Uncovered, Targeting Groupon & Online Ticket VendorsRapportera: Massive Fraud Network Uncovered, Targeting Groupon & Online Ticket Vendors

Misstänkta poster

Det var svårt att hitta information om Neuroticket. Med tanke på att det verkade vara ett populärt program var det inte ens en webbplats.

Under tiden, Vi började misstänka att många av e-postadresserna i databasen var falska. För att testa denna teori valde vi slumpmässigt 10 e-postadresser och kontaktade de uppenbara ägarna. Endast en person svarade till oss.

Slutligen kontaktade vi Groupon, eftersom de stod för 90% av e-postmeddelandena i databasen och presenterade våra resultat och misstankar för deras säkerhetsteam. Det var då vi lärde oss vår sanna natur.

Upptäcka nätverket

Efter att ha överlämnat resultaten av vår forskning till Groupon kunde de själva analysera databasen och korsreferenser den med information från sina interna system.

Vid denna punkt, Groupons säkerhetsteam kopplade denna databas till ett kriminellt nätverk som de hade jagat sedan 2016.

Det året, en kriminell operation öppnade 2 miljoner bedrägliga konton på Groupon. Med stulna kreditkort, de använde kontona för att köpa biljetter på sajten och sälja dem sedan till oskyldiga människor online.

Groupon hade kunnat stänga de flesta av kontona, men inte alla av dem. Verksamheten har förblivit motståndskraftig trots företagets utmärkta arbete. Groupons Chief Information Security Officer (CISO) uppskattar antalet bedrägliga konton i nätverket som vi hjälpte att avslöja att vara så högt som 20 000.

I samarbete med vårt forskarteam har Groupon kunnat analysera uppgifterna och slutligen noll in i hela det kriminella nätverket.

Från början av denna process har Groupons CISO varit otroligt samarbetsvilliga, proaktiva och professionella. Vid någon tidpunkt slutade de dock svara, och vi satt kvar utan svar.

Hur bedrägeriet fungerade

Åtgärden övervakade deras e-postbrevlådor länkade till bedrägliga konton, filtrering av relevanta e-postmeddelanden i Elastisearch-databasen för analys. Därifrån, de extraherade biljetter från e-postmeddelanden - i PDF-format för Groupon, till exempel - och ignorerade andra irrelevanta e-postmeddelanden.

De skulle då, enligt Groupon, sälja dessa biljetter till intetanande medlemmar av allmänheten.

I den överträdda databasen ingick också supportmeddelanden och chattloggar från Groupon angående återbetalningar till kunder. 

Detta var ytterligare bevis på att databasen faktiskt inte var kopplad till de berörda biljettförsäljarna eller Groupon. Istället föreslog det att databasen var länkad till e-postinkorgar som tillhör en oberoende part - i detta fall databasägaren.

En ironisk vridning

Under vårt arbete fann vårt team en märklig lösenanmärkning inbäddad i databasen.

Påstår sig ha extraherat information från databasen krävde en lösen på 400 $ i Bitcoin, i utbyte mot att inte släppa de stulna uppgifterna till allmänheten och därefter ta bort dem.

Det verkar, minst en kriminell hacker har redan hackat databasen. Inte förstår vad de upptäckte, de är försöker utpressa sina ägare.

Detta är ett känt problem med många öppna databaser. Det triggas vanligtvis av automatiserade skript och inte manuellt av människor.

Effekten av bedrägeri

Groupon har spenderat tre år på att utreda och jaga detta kriminella nätverk. Under den tiden har de investerat bra tid, pengar och resurser som försöker stänga av den.

Det bedrägeri som begås med denna databas har utan tvekan kostar företaget betydande intäkter.

Med hela operationen äntligen utsatt kan de stäng av det för gott.

Hur och varför vi upptäckte detta dataöverträdelse

Vi hittade denna dataläckage som en del av vårt pågående, storskaliga webbkartläggningsprojekt. Ran och Noam skannar internetportar som letar efter kända IP-block och använder dessa block för att hitta hål i ett företags webbsystem. När dessa hål har hittats letar teamet efter sårbarheter som skulle leda dem till ett dataintrång.

När de hittar läckta data använder de flera experttekniker för att verifiera databasens identitet.

Som etiska hackare når vi normalt ut ägarna till databasen eller webbplatserna som berörs och beskriver de säkerhetsbrister vi upptäcker. I det här fallet beslutade vi att kontakta Groupon och de andra biljettförsäljarna.

Vi bär också ett ansvar till allmänheten. Om möjligt, vi kommer också att varna alla andra parter som drabbats av överträdelsen, till exempel kunder, klienter eller webbplatser.

Syftet med övningen är att göra Internet säkrare för alla.

Om oss och tidigare rapporter

vpnMentor är världens största webbplats för VPN-granskning. Vårt forskningslaboratorium är en pro bono-tjänst som strävar efter att hjälpa onlinemiljön att försvara sig mot cyberhot och samtidigt utbilda organisationer om att skydda sina användares data. 

Vi upptäckte nyligen ett stort dataintrång som påverkade 80 miljoner amerikanska hushåll. Vi avslöjade också att ett överträdelse av Biostar 2 komprometterade de biometriska uppgifterna för över 1 miljon människor. Du kanske också vill läsa vår VPN-läckrapport och statistikrapport för personuppgifter.

På tal om säkerhet och kuponger kanske du vill kolla in vår sida om "bästa VPN-kuponger". Vi kan inte ta bort din webbplats, men vi kan hjälpa dig att skydda din dator.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me