Raportti: Massiivinen petosverkko paljastettu, kohdistettu ryhmä- ja online-lipunmyyjille


vpnMentorin tutkimusryhmä, jota vettivät äskettäin Noam Rotem ja Ran Locar valtava rikollinen operaatio, joka on pettänyt Grouponia ja muita tärkeitä online-lipunmyyjiä ainakin vuodesta 2016 lähtien.

Osana laajempaa verkkokarttatutkimushanketta löysimme 17 miljoonan sähköpostin välimuisti suojaamattomassa tietokannassa. Alkuperäisen tutkimuksen mukaan tietojen rikkominen johtui Grouponin ja muiden online-lipunmyyjien käyttämästä lippujenkäsittelyalustan haavoittuvuudesta.

Tarkemman tutkimuksen jälkeen, aloimme epäillä laajempaa rikollisuutta saattaa olla leikissä. Olemme työskennelleet monien vastaavien tietokantarikkomusten suhteen, ja tietyt tämän rikkomukset eivät saaneet aikaan lisäystä. Saatuaan yhteyden Grouponiin huolenaiheidemme kanssa, paljastettiin paljastamattoman laajuus.

Tietokanta kuului edistyneeseen rikollisverkostoon. Vuodesta 2016 he ovat käyttäneet a yhdistelmä sähköposti-, luottokortti- ja lippupetoksia vastaan ​​Groupon, Ticketmaster ja monet muut myyjät.

Groupon on yrittänyt sulkea tämän toiminnan alhaalla alusta lähtien, mutta se on osoittautunut joustavaksi.

Meillä voi nyt olla yhteistyö Grouponin turvallisuustiimin kanssa avain rikoksen lopettamiseen kerta kaikkiaan.

Löytön ja tutkimuksen aikajana

Olemme tutkineet tätä tietokantaa yhteistyössä Grouponin kanssa jatkuu useita viikkoja nyt. Tämän voidaan odottaa löytävän tämän koon ja vakavuuden.

Joskus tapahtuu, että tietosuojarikkomusten laajuus ja tietojen omistaja ovat ilmeiset, ja ongelma ratkaistiin nopeasti. Mutta harvinaisia ​​ovat nämä ajat. Useimmiten, Tarvitsemme tutkimuspäiviä ennen kuin ymmärrämme, mikä on vaakalaudalla tai kuka vuotaa tietoja.

Tässä tapauksessa epäilimme aluksi haavoittuvuutta Neuroticketissa, joka on tietokantaan linkitetty postitusjärjestelmä. Tiimimme kesti kauan, kun löysin mitään ohjelmasta tietoa, koska siitä ei ollut jäljellä missään Internetissä paitsi todennussivua ja tietokannan sisällä.

Jopa sen jälkeen kun päätimme seurata tätä johtoasetusta, huomasimme, että suurimmalla osalla tiedoista ei ollut järkeä. Päätimme tutkia tarkemmin, vaikka olimme jo paljastaneet löydöksemme isäntäyritykselle ja Ticketmasterille ajatellessamme olevansa tietoisia asiasta.

Lopussa, meidän piti romuttaa alkuperäiset tutkimustuloksemme ja kirjoittaa kokonaan uusi raportti, kuvastaa havaitsemiemme laajuutta.

Rikkomuksen ja vaaran ymmärtäminen vie huolellista huomiota ja aikaa. Jotkut asiaankuuluvat yritykset kiistävät tosiseikat tutkimustamme sivuuttamatta, joten meidän on oltava perinpohjaisia ​​ja varmistettava, että kaikki löysimme oikein ja totta.

Teemme kovasti töitä julkaisemalla tarkkoja ja luotettavia raportteja, varmistaa, että kaikki heitä lukevat ymmärtävät heidän vakavuudensa. Siksi päätimme kirjoittaa koko raportin uudelleen, jotta se heijastaisi paremmin tutkimusviikkojamme.

Mitä löysimme

Rutiininomaisen web-kartoitusprojektin aikana Noam, Ran & joukkue löysi rikkomuksen massiivisessa tietokannassa. Se sisälsi 17 miljoonaa tietuetta ja 1,2 teratavua dataa - valtava määrä tietoa.

Rikkominen näytti antavan pääsyn henkilökohtaisiin tietoihin jokaisesta, joka ostaa lippuja verkkosivustolta käyttämällä Neuroticketia. Aluksi uskoimme, että tämä haavoittuvuus vaarantaa asiakkaiden näillä verkkosivustoilla. 

Vuoto sisälsi monia pieniä, riippumattomia tapahtumatiloja ja tapahtumapaikkoja kaikkialla Yhdysvalloissa. Näitä olivat:

  • Tyynenmeren luoteisbaletti
  • Joffrey Ballet, Chicago
  • Kansas City Ballet
  • Dr. Phillips Center, Orlando
  • Fox Theatre, Georgia
  • Baletti Austin, Austin
  • Colorado Ballet, Denver

Kaksi Vaikutettiin myös Internetin suurimpiin lipunmyyjiin: Ticketmaster & Tickpick.

kuitenkin, 90% tietokannasta sisälsi suositun kuponki- ja alennussivuston Grouponin tietueita, yhteensä 16 miljoonaa. Tämä selittyy Grouponin uutiskirjeillä ja tarjoussähköposteilla, joita lähetetään jopa viisi kertaa päivässä, asiakasta kohden.

Alla on 2 esimerkkiä tietokannan merkinnöistä:

Raportti: Massiivinen petosverkko paljastettu, kohdistettu ryhmä- ja online-lipunmyyjilleRaportti: Massiivinen petosverkko paljastettu, kohdistettu ryhmä- ja online-lipunmyyjille

Epäilyttävät levyt

Tietojen löytäminen Neuroticketista osoittautui vaikeaksi. Koska se näytti suositulta ohjelmistolta, sillä ei ollut edes verkkosivustoa.

sillä välin, aloimme epäillä, että monet tietokannan sähköpostiosoitteista olivat vääriä. Tämän teorian testaamiseksi valitsimme satunnaisesti 10 sähköpostiosoitetta ja otimme yhteyttä näennäisiin omistajiin. Vain yksi henkilö vastasi meille.

Viimeinkin otimme yhteyttä Grouponiin, koska niiden osuus tietokannan sähköposteista oli 90%, ja ne esittelivät havainnot ja epäilyt heidän turvallisuusryhmäänsä. Silloin opimme löytömme todellisen luonteen.

Verkon paljastaminen

Annettuaan tutkimuksen tulokset Grouponille he pystyivät analysoimaan tietokannan itse, vertaamalla sitä sisäisten järjestelmiensä tietoihin..

Tässä tilanteessa, Grouponin turvallisuusryhmä linkitti tämän tietokannan rikollisverkostoon, jota he ovat jahdanneet vuodesta 2016 lähtien.

Sinä vuonna rikollinen toimenpide avasi 2 miljoonaa petollista tiliä Grouponilla. Kanssa varastettuja luottokortteja, he käyttivät tiliä lippujen ostamiseen sivustolta ja myivät sitten ne viattomille ihmisille verkossa.

Groupon oli pystynyt sulkemaan suurimman osan tileistä, mutta ei kaikkia niitä. Toiminta on pysynyt joustavana yrityksen erinomaisesta työstä huolimatta. Grouponin tietoturvajohtaja (CISO) arvioi petoksellisten tilien lukumäärä verkossa, jota autimme paljastamaan, on jopa 20 000.

Yhdessä tutkimusryhmän kanssa Groupon on pystynyt analysoida tiedot ja lopulta nollautua koko rikollisverkostoon.

Tämän prosessin alusta lähtien Grouponin CISO on ollut uskomattoman yhteistyöhaluinen, proaktiivinen ja ammattimainen. Jossain vaiheessa he lopettivat vastaamisen, ja me jäimme ilman vastauksia.

Kuinka petokset toimivat

Operaatio seurasi heidän vilpillisiin tileihin linkitettyjen postilaatikoidensa tietoja, suodattamalla asiaankuuluvat sähköpostit Elastisearch-tietokantaan analysointia varten. Sieltä he uutetut liput sähköposteista - esimerkiksi PDF-muodossa esimerkiksi Grouponille - ja jättänyt huomiotta kaikki muut asiaankuulumattomat sähköpostit.

He ryhtyisivät sitten Grouponin mukaan, myydä nämä liput pahaa ajattelemattomalle yleisölle.

Rikkottuun tietokantaan sisältyivät myös Groupon tukisähköpostiviestit ja keskustelulokit asiakkaille maksettavista palautuksista. 

Tämä oli lisätodisteita siitä, että tietokantaa ei tosiasiallisesti ollut liitetty lippujen myyjiin tai Grouponiin. Sen sijaan se ehdotti, että tietokanta linkitettiin riippumattoman osapuolen sähköpostilaatikoihin - tässä tapauksessa tietokannan omistaja.

Ironinen kierre

Tutkiessaan ryhmämme löysi tietokantaan upotettu erikoinen lunastuslause.

Väittää saaneensa tietoja tietokannasta, se vaati 400 dollarin lunnaata Bitcoinista, vastineeksi siitä, ettei varastettuja tietoja ole julkistettu ja poistettu myöhemmin.

Näyttää, ainakin yksi rikollinen hakkeri on jo hakkeroinut tietokannan. En ymmärrä mitä he löysivät, he ovat yrittää kiristää omistajia.

Tämä on tunnettu ongelma monien avoimien tietokantojen kanssa. Se laukaistaan ​​yleensä automatisoiduilla skripteillä, ei ihmisillä.

Petosten vaikutus

Groupon on viettänyt 3 vuotta tutkia ja jahtaa tätä rikollisverkostoa. Tuona aikana he ovat sijoittaneet paljon aikaa, rahaa ja resurssit yrittävät sulkea sen.

Tämän tietokannan avulla tehdyillä petoksilla on epäilemättä maksanut yritykselle merkittäviä tuloja.

Kun koko toimenpide lopulta paljastetaan, he voivat sammuta se hyväksi.

Kuinka ja miksi löysimme tämän tietorikkomuksen

Löysimme tämän tiedon vuodon osana käynnissä oleva, laajamittainen web-kartoitusprojekti. Ran ja Noam tarkistavat Internet-portit, jotka etsivät tunnettuja IP-lohkoja, ja käyttävät näitä lohkoja reikien löytämiseen yrityksen verkkojärjestelmästä. Kun nämä reiät on löydetty, joukkue etsii haavoittuvuuksia, jotka johtaisivat niihin tietorikkomukseen.

Kun he löytävät vuotaneet tiedot, he käyttävät useita asiantuntijatekniikoita tietokannan henkilöllisyyden todentamiseksi.

Eettisinä hakkereina otamme yleensä yhteyttä tietokannan tai verkkosivustojen omistajiin, joissa asia koskee, ja hahmotellamme havaitsemiamme turvallisuusvirheitä. Tässä tapauksessa päätimme ottaa yhteyttä Grouponiin ja muihin lipunmyyjiin.

Me kannamme myös vastuun yleisölle. Jos mahdollista, ilmoitamme myös kaikille muille osapuolille, joihin rikkomus vaikuttaa, kuten asiakkaille, asiakkaille tai verkkosivuston käyttäjille.

Harjoituksen tarkoituksena on tehdä Internetistä turvallisempaa kaikille.

Tietoa meistä ja aiemmat raportit

vpnMentor on maailman suurin VPN-tarkistussivusto. Tutkimuslaboratoriomme on pro bono -palvelu, joka pyrkii auttamaan verkkoyhteisöä puolustautumaan verkkouhkilta ja kouluttamalla organisaatioita käyttäjiensä tietojen suojaamiseen.. 

Löysimme äskettäin valtavan tietorikkomuksen, joka koski 80 miljoonaa Yhdysvaltain kotitaloutta. Paljasimme myös, että rikkomus Biostar 2: ssa vaaransi yli miljoonan ihmisen biometriset tiedot. Voit myös lukea VPN: n vuotoraportin ja tietosuojatilastomme.

Turvallisuudesta ja kuponkeista puhutaan ehkä “parhaiden VPN-kuponkien” sivulta. Emme voi purkaa sivustoasi, mutta voimme auttaa sinua suojaamaan tietokonettasi.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me