信息來(lái)源:4hou
全球最大的票務(wù)網(wǎng)站——Ticketmaster�����,因其使用的第三方聊天軟件里被注入惡意代碼�,包括Ticketmaster International�����、Ticketmaster UK����、GETMEIN!和TicketWeb等相關(guān)平臺(tái)均發(fā)生數(shù)據(jù)泄漏��。根據(jù)BBC的報(bào)導(dǎo)��,受影響的人可能在40000人以上����。
事件經(jīng)過(guò)
就在上月初,美國(guó)票務(wù)巨頭Ticketfly也遭遇黑客攻擊勒索���,出現(xiàn)了嚴(yán)重的數(shù)據(jù)泄漏���。Ticketmaster表示,他們?cè)诎l(fā)現(xiàn)了這一漏洞后���,立即停用了Inbenta公司托管的所有產(chǎn)品��,因?yàn)楸蛔⑷霅阂獯a的第三方聊天軟件就是Inbenta托管的��。Ticketmaster表示��,目前只有不到5%的全球客戶受到影響����,但北美的客戶沒(méi)有受到影響?���?梢源_定的是,泄漏的信息涉及用戶的姓名����、電子郵件地址、電話號(hào)碼及信用卡信息����。
在2017年9月至今年6月23日期間購(gòu)買(mǎi)或試圖購(gòu)買(mǎi)活動(dòng)門(mén)票的客戶的個(gè)人信息均在可能被泄漏的范圍內(nèi)�。
目前Ticketmaster尚未透露任何相關(guān)泄漏方面的技術(shù)細(xì)節(jié),但他們已經(jīng)向受影響的客戶發(fā)送電子郵件進(jìn)行提醒��。
為了進(jìn)一步預(yù)防風(fēng)險(xiǎn)���,所有接收到電子郵件的客戶下次登錄時(shí)必須重置密碼��。
Ticketmaster當(dāng)前正與安全專家合作日����,試圖及時(shí)解決問(wèn)題。另外他們還專門(mén)建立了一個(gè)網(wǎng)站以回應(yīng)客戶關(guān)于Inbenta事件的疑問(wèn)�����。
Inbenta的回應(yīng)
Inbenta聲稱責(zé)任并非全在他們身上����。他們認(rèn)為,Ticketmaster是在未通知他們情況下���,將這段惡意代碼直接用在其支付網(wǎng)頁(yè)上���。結(jié)果這段代碼被黑客發(fā)現(xiàn)、修改���,再用來(lái)收集Ticketmaster客戶的支付信息��。
Ticketmaster并不是第一家遭遇數(shù)據(jù)泄露的在線零售服務(wù)公司�,今年4月����,Asimilar的攻擊目標(biāo)是百思買(mǎi)(Best Buy)�、達(dá)美航空(Delta Airlines)���、西爾斯(Sears)和凱馬特(Kmart)�����。故此客戶的姓名����、地址和信用卡信息很可能被黑客竊取��,但這些公司沒(méi)有證實(shí)有多少客戶受到了影響�,也沒(méi)有證實(shí)有多少個(gè)人信息在黑客入侵中被竊取。
如果本次攻擊屬實(shí)����,那5月底新實(shí)施的GDPR將針對(duì)企業(yè)處以最高4%的公司營(yíng)收或2000萬(wàn)歐元的罰金。
為何票務(wù)泄漏事件不斷發(fā)生
現(xiàn)實(shí)情況是��,如今所有企業(yè)都依賴復(fù)雜的網(wǎng)絡(luò)供應(yīng)鏈�,包括使用免費(fèi)的開(kāi)源軟件����,自定義的第三方組件或購(gòu)買(mǎi)的現(xiàn)成應(yīng)用程序��。Ticketmaster產(chǎn)品營(yíng)銷(xiāo)經(jīng)理表示:
今天�����,公司被迫要承擔(dān)整個(gè)供應(yīng)商的安全風(fēng)險(xiǎn)�,因?yàn)樵谡麄€(gè)技術(shù)供應(yīng)鏈中�����,強(qiáng)制要求一致的安全水平是不切實(shí)際的�����。
對(duì)黑客們來(lái)說(shuō)�����,安全水平參差不齊的技術(shù)供應(yīng)鏈���,讓他們有了網(wǎng)絡(luò)滲透的機(jī)會(huì)����。在對(duì)目標(biāo)發(fā)起攻擊時(shí),可以通過(guò)其中一個(gè)環(huán)節(jié)來(lái)入手�,漏洞中最臭名昭著的就是“HVACKer”。2017年����,以色列本-古里安大學(xué)(Ben-GurionUniversity of theNegev)網(wǎng)絡(luò)安全研究中心一組研究人員發(fā)現(xiàn),HVAC(供熱通風(fēng)與空氣調(diào)節(jié))系統(tǒng)能橋接隔離網(wǎng)絡(luò)與外部世界���,遠(yuǎn)程攻擊者可借此向目標(biāo)隔離網(wǎng)絡(luò)中的惡意軟件發(fā)送命令�。
此類(lèi)攻擊場(chǎng)景被命名為“HVACKer”——依賴定制惡意軟件與計(jì)算機(jī)熱傳感器交互讀取溫度變化�����,并將其轉(zhuǎn)換成二進(jìn)制代碼��。
在理想的安全世界中����,任何創(chuàng)建應(yīng)用程序的公司都應(yīng)該使開(kāi)發(fā)人員能夠在整個(gè)軟件開(kāi)發(fā)生命周期(SDLC)中考慮安全最佳實(shí)踐,并提供適當(dāng)?shù)呐嘤?xùn)甚至安全認(rèn)證�,特別是與交易網(wǎng)站交互的每個(gè)插件都需要在決策過(guò)程中進(jìn)行安全審查。
