Pranešimas: masinis sukčiavimo tinklas neaptiktas, nukreiptas į „Groupon“ ir internetinius bilietų pardavėjus


Neseniai paviešinta „vpnMentor“ tyrimų komanda, vadovaujama Noamo Rotemo ir Ran Locaro masinė nusikalstama operacija, kuri šmeižia „Groupon“ ir kitus didžiuosius internetinius bilietų pardavėjus bent jau nuo 2016 m.

Kaip didesnio žiniatinklio žemėlapių tyrimo projekto dalį mes atradome talpyklą, kurioje yra 17 milijonų el. laiškų nesaugioje duomenų bazėje. Mūsų pradinis tyrimas parodė, kad duomenų pažeidimas buvo pažeidžiamas bilietų apdorojimo platformoje, kuria naudojasi „Groupon“ ir kiti internetiniai bilietų pardavėjai..

Tačiau atlikus tolesnį tyrimą, pradėjome įtarti platesnę nusikalstamą įmonę gali būti žaidžiamas. Mes dirbome prie daugelio panašių duomenų bazių pažeidimų, ir tam tikri šio pažeidimo aspektai nebuvo įtraukti. Kreipęsi į „Groupon“ ir susirūpinę, paaiškėjo visa tai, ką atskleidėme.

Duomenų bazė priklausė sudėtingam nusikalstamų tinklui. Nuo 2016 m. Jie naudojasi a el. pašto, kreditinės kortelės ir bilietų sukčiavimo derinys prieš „Groupon“, „Ticketmaster“ ir daugelį kitų pardavėjų.

„Groupon“ bandė uždaryti šią operaciją nuo pat jo pradžios, tačiau pasirodė esąs atsparus.

Dabar galime dirbti kartu su „Groupon“ saugos komanda raktas į nusikalstamos operacijos uždarymą galutinai.

Atradimų ir tyrimų laikas

Mes atlikome šios duomenų bazės tyrimą bendradarbiaudami su Groupon tęsiasi jau kelias savaites. To reikia tikėtis atradus tokį dydį ir rimtumą.

Kartais atsitinka, kad duomenų pažeidimo mastas ir duomenų savininkas yra akivaizdūs, ir problema greitai išsisprendžia. Tačiau retais atvejais tai būna. Dažniausiai, mums reikia dienų tyrimo, kad suprastume, kas yra rizikinga ar kas nutekina duomenis.

Šiuo atveju iš pradžių įtarėme „Neuroticket“, pašto duomenų bazės, susietos su duomenų baze, pažeidžiamumą. Mūsų komandai prireikė nemažai laiko, kol buvo rasta jokių duomenų apie programą, nes niekur kitur internete nebuvo jokių pėdsakų, išskyrus autentifikavimo puslapį ir duomenų bazės viduje.

Net po to, kai nusprendėme vadovautis šiuo pavyzdžiu, supratome, kad dauguma duomenų neturi prasmės. Mes nusprendėme ištirti toliau, net jei jau atradome savo duomenis prieglobos įmonei ir „Ticketmaster“, manydami, kad jie žino šią problemą.

Pabaigoje, turėjome atsisakyti pradinių tyrimų rezultatų ir parašyti visiškai naują ataskaitą, atspindėti tai, ką atradome.

Suprasti pažeidimą ir tai, kas rizikuoja, reikia atsargiai ir laiku. Kai kurios paveiktos įmonės neigia faktus, neatsižvelgdamos į mūsų tyrimus, todėl turime būti nuodugnūs ir įsitikinti, kad viskas, ką randame, yra teisinga ir teisinga..

Mes sunkiai dirbame skelbti tikslias ir patikimas ataskaitas, užtikrinti, kad visi juos skaitantys suprastų jų rimtumą. Štai kodėl mes nusprendėme perrašyti visą šią ataskaitą, kad ji geriau atspindėtų mūsų tyrimų savaites.

Ką mes atradome

Įprasto interneto žemėlapių projekto metu „Noam, Ran“ & komanda aptiko pažeidimą masinėje duomenų bazėje. Jame buvo 17 milijonų įrašų ir 1,2 terabaito duomenų - didžiulis informacijos kiekis.

Pažeidimas atrodė, kad suteikia prieigą prie asmeninės informacijos apie kiekvieną, perkantį bilietus iš interneto naudojant „Neuroticket“. Iš pradžių manėme, kad dėl šio pažeidžiamumo kilo pavojus šių svetainių klientams. 

Nuotėkis apėmė daugybę mažų, nepriklausomų renginių vietų ir vietų visoje JAV. Tai buvo:

  • Ramiojo vandenyno šiaurės vakarų baletas
  • Joffrey baletas, Čikaga
  • Kanzaso miesto baletas
  • Phillipso centras, Orlandas
  • „Fox“ teatras, Džordžija
  • Baletas Austinas, Austinas
  • Kolorado baletas, Denveris

Du iš Taip pat buvo paveikti didžiausi interneto bilietų pardavėjai: „Ticketmaster“ & Pažymėti.

Vis dėlto, 90% duomenų bazės buvo įrašai iš populiaraus kupono ir nuolaidų tinklalapio „Groupon“, iš viso iš viso 16 mln. Tai galima paaiškinti „Groupon“ informaciniais biuleteniais ir reklaminiais el. Laiškais, išsiunčiamais iki 5 kartų per dieną, vienam klientui.

Žemiau yra 2 įrašų duomenų bazėje pavyzdžiai:

Pranešimas: masinis sukčiavimo tinklas neaptiktas, nukreiptas į „Groupon“ ir internetinius bilietų pardavėjusPranešimas: masinis sukčiavimo tinklas neaptiktas, nukreiptas į „Groupon“ ir internetinius bilietų pardavėjus

Įtartini įrašai

Neįmanoma rasti informacijos apie „Neuroticket“. Turint galvoje populiarią programinę įrangą, ji net neturėjo internetinės svetainės.

Tuo tarpu, pradėjome įtarti, kad daugelis duomenų bazėje esančių el. pašto adresų yra netikri. Norėdami patikrinti šią teoriją, atsitiktinai pasirinkome 10 el. Pašto adresų ir susisiekėme su akivaizdžiais savininkais. Mums atsakė tik vienas asmuo.

Galiausiai susisiekėme su „Groupon“, nes jie sudarė 90% duomenų bazėje esančių el. laiškų, pateikdami mūsų radinius ir įtarimus savo saugos komandai. Tada mes sužinojome tikrąją atradimo prigimtį.

Tinklo atskleidimas

Pateikę mūsų tyrimų rezultatus Groupon, jie galėjo patys išanalizuoti duomenų bazę, kryžminę nuorodą į informaciją iš savo vidinių sistemų.

Šiuo atveju, „Groupon“ saugos komanda susiejo šią duomenų bazę su nusikalstamu tinklu, kurį jie vijosi nuo 2016 m.

Tais metais nusikalstama operacija „Groupon“ atidarė 2 mln. apgaulingų sąskaitų. Su pavogtos kreditinės kortelės, jie pasinaudojo sąskaitomis, norėdami nusipirkti bilietus svetainėje, o paskui perparduoti internete nekaltiems žmonėms.

„Groupon“ galėjo uždaryti didžiąją dalį sąskaitų, bet ne visi jie. Nepaisant puikaus bendrovės darbo, operacija išliko atspari. „Groupon“ vyriausiasis informacijos saugumo pareigūnas (CISO) vertina apgaulingų sąskaitų, kurias padėjome atskleisti, skaičius tinkle sudarė 20 000.

Dirbdama kartu su mūsų tyrimų komanda, Groupon sugebėjo išanalizuoti duomenis ir pagaliau įtraukti į nusikalstamą tinklą.

Nuo šio proceso pradžios „Groupon's CISO“ buvo nepaprastai bendradarbiaujantis, iniciatyvus ir profesionalus. Tačiau tam tikru momentu jie nustojo atsakyti, o mes likome be atsakymų.

Kaip sukčiavimas veikė

Operacija stebėjo jų el. Pašto dėžutes, susietas su apgaulingomis sąskaitomis, atitinkamų el. laiškų filtravimas į „Elastisearch“ duomenų bazę analizei. Iš ten jie iš elektroninių laiškų išgauti bilietai Pvz., „PDFon“ formatu, pavyzdžiui, „Groupon“, ir nepaisė jokių kitų nesusijusių el. Laiškų.

Tada jie, pasak Groupono, perparduokite šiuos bilietus nieko neįtariantiems visuomenės nariams.

Taip pat į pažeistą duomenų bazę buvo įtraukti „Groupon“ palaikymo el. Laiškai ir pokalbių žurnalai, susiję su klientams suteiktomis grąžinamosiomis išmokomis. 

Tai buvo papildomų įrodymų, kad duomenų bazė iš tikrųjų nebuvo susijusi su paveiktais bilietų pardavėjais ar „Groupon“. Vietoj to, ji pasiūlė duomenų bazė buvo susieta su el. pašto dėžutėmis, priklausančiomis nepriklausomai šaliai - šiuo atveju duomenų bazės savininkas.

Ironiškas posūkis

Vykdydami tyrimus mūsų komanda rado duomenų bazėje įterptas savitas išpirkos raštas.

Teigia, kad iš duomenų bazės išgavo informaciją reikalavo 400 USD išpirkos iš „Bitcoin“, mainais už tai, kad pavogti duomenys neatskleistų visuomenės ir vėliau jų neištrintų.

Atrodo, bent vienas nusikalstamas įsilaužėlis jau įsilaužė į duomenų bazę. Nesuprasdami, ką atrado, jie yra bandydamas išvyti jo savininkus.

Tai žinoma problema, susijusi su daugeliu atvirų duomenų bazių. Paprastai tai suveikia automatizuoti scenarijai, o ne rankiniu būdu.

Sukčiavimo poveikis

„Groupon“ praleido 3 metus tirdamas ir persekioti šį nusikalstamą tinklą. Per tą laiką jie investavo daug laiko, pinigų ir ištekliai, bandantys jį išjungti.

Sukčiavimas, padarytas naudojantis šia duomenų baze, turi be abejo, įmonei kainavo nemažas pajamas.

Pagaliau atlikę visą operaciją, jie gali uždaryk jį į gera.

Kaip ir kodėl mes nustatėme šį duomenų pažeidimą

Mes radome šį duomenų nutekėjimą kaip mūsų vykdomas didelio masto interneto žemėlapių projektas. „Ran“ ir „Noam“ nuskaito interneto prievadus, ieškodami žinomų IP blokų, ir naudokite šiuos blokus norėdami rasti skyles įmonės žiniatinklio sistemoje. Kai šios skylės randamos, komanda ieško pažeidžiamumų, dėl kurių jie galėtų būti pažeisti duomenų.

Radę neskelbtinus duomenis, jie naudoja keletą ekspertų metodų duomenų bazės tapatumui patikrinti.

Kaip etiniai įsilaužėliai, mes paprastai kreipiamės į paveiktų duomenų bazių ar svetainių savininkus ir nurodome aptiktus saugos trūkumus. Tokiu atveju nusprendėme susisiekti su „Groupon“ ir kitais bilietų pardavėjais.

Mes taip pat prisiimame atsakomybę prieš visuomenę. Jei įmanoma, mes taip pat pranešime visoms kitoms pažeidimo paveiktoms šalims, pavyzdžiui, klientams, klientams ar svetainės vartotojams.

Pratimų tikslas - padėti visiems naudotis internetu.

Apie mus ir ankstesnės ataskaitos

„vpnMentor“ yra didžiausia pasaulyje VPN peržiūros svetainė. Mūsų tyrimų laboratorija yra pro bono paslauga, kuria siekiama padėti internetinei bendruomenei apsiginti nuo kibernetinių grėsmių, kartu mokant organizacijas apsaugoti savo vartotojų duomenis.. 

Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Mes taip pat atskleidėme, kad „Biostar 2“ pažeidimas pakenkė daugiau nei 1 milijono žmonių biometriniams duomenims. Taip pat galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.

Kalbėdami apie saugumą ir kuponus, galbūt norėsite apsilankyti mūsų puslapyje „geriausi VPN kuponai“. Negalime atjungti jūsų svetainės, tačiau galime padėti apsaugoti jūsų kompiuterį.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me