信息來源：4hou

全球最大的票務(wù)網(wǎng)站——Ticketmaster，因其使用的第三方聊天軟件里被注入惡意代碼，包括Ticketmaster International、Ticketmaster UK、GETMEIN!和TicketWeb等相關(guān)平臺均發(fā)生數(shù)據(jù)泄漏。根據(jù)BBC的報導(dǎo)，受影響的人可能在40000人以上。

事件經(jīng)過

就在上月初，美國票務(wù)巨頭Ticketfly也遭遇黑客攻擊勒索，出現(xiàn)了嚴(yán)重的數(shù)據(jù)泄漏。Ticketmaster表示，他們在發(fā)現(xiàn)了這一漏洞后，立即停用了Inbenta公司托管的所有產(chǎn)品，因為被注入惡意代碼的第三方聊天軟件就是Inbenta托管的。Ticketmaster表示，目前只有不到5%的全球客戶受到影響，但北美的客戶沒有受到影響。可以確定的是，泄漏的信息涉及用戶的姓名、電子郵件地址、電話號碼及信用卡信息。

在2017年9月至今年6月23日期間購買或試圖購買活動門票的客戶的個人信息均在可能被泄漏的范圍內(nèi)。

目前Ticketmaster尚未透露任何相關(guān)泄漏方面的技術(shù)細(xì)節(jié)，但他們已經(jīng)向受影響的客戶發(fā)送電子郵件進(jìn)行提醒。

為了進(jìn)一步預(yù)防風(fēng)險，所有接收到電子郵件的客戶下次登錄時必須重置密碼。

Ticketmaster當(dāng)前正與安全專家合作日，試圖及時解決問題。另外他們還專門建立了一個網(wǎng)站以回應(yīng)客戶關(guān)于Inbenta事件的疑問。

Inbenta的回應(yīng)

Inbenta聲稱責(zé)任并非全在他們身上。他們認(rèn)為，Ticketmaster是在未通知他們情況下，將這段惡意代碼直接用在其支付網(wǎng)頁上。結(jié)果這段代碼被黑客發(fā)現(xiàn)、修改，再用來收集Ticketmaster客戶的支付信息。

Ticketmaster并不是第一家遭遇數(shù)據(jù)泄露的在線零售服務(wù)公司，今年4月，Asimilar的攻擊目標(biāo)是百思買(Best Buy)、達(dá)美航空(Delta Airlines)、西爾斯(Sears)和凱馬特(Kmart)。故此客戶的姓名、地址和信用卡信息很可能被黑客竊取，但這些公司沒有證實有多少客戶受到了影響，也沒有證實有多少個人信息在黑客入侵中被竊取。

如果本次攻擊屬實，那5月底新實施的GDPR將針對企業(yè)處以最高4%的公司營收或2000萬歐元的罰金。

為何票務(wù)泄漏事件不斷發(fā)生

現(xiàn)實情況是，如今所有企業(yè)都依賴復(fù)雜的網(wǎng)絡(luò)供應(yīng)鏈，包括使用免費的開源軟件，自定義的第三方組件或購買的現(xiàn)成應(yīng)用程序。Ticketmaster產(chǎn)品營銷經(jīng)理表示：

今天，公司被迫要承擔(dān)整個供應(yīng)商的安全風(fēng)險，因為在整個技術(shù)供應(yīng)鏈中，強(qiáng)制要求一致的安全水平是不切實際的。

對黑客們來說，安全水平參差不齊的技術(shù)供應(yīng)鏈，讓他們有了網(wǎng)絡(luò)滲透的機(jī)會。在對目標(biāo)發(fā)起攻擊時，可以通過其中一個環(huán)節(jié)來入手，漏洞中最臭名昭著的就是“HVACKer”。2017年，以色列本-古里安大學(xué)（Ben-GurionUniversity of theNegev）網(wǎng)絡(luò)安全研究中心一組研究人員發(fā)現(xiàn)，HVAC（供熱通風(fēng)與空氣調(diào)節(jié)）系統(tǒng)能橋接隔離網(wǎng)絡(luò)與外部世界，遠(yuǎn)程攻擊者可借此向目標(biāo)隔離網(wǎng)絡(luò)中的惡意軟件發(fā)送命令。

此類攻擊場景被命名為“HVACKer”——依賴定制惡意軟件與計算機(jī)熱傳感器交互讀取溫度變化，并將其轉(zhuǎn)換成二進(jìn)制代碼。

在理想的安全世界中，任何創(chuàng)建應(yīng)用程序的公司都應(yīng)該使開發(fā)人員能夠在整個軟件開發(fā)生命周期（SDLC）中考慮安全最佳實踐，并提供適當(dāng)?shù)呐嘤?xùn)甚至安全認(rèn)證，特別是與交易網(wǎng)站交互的每個插件都需要在決策過程中進(jìn)行安全審查。