导语:全球最大的票务网站——Ticketmaster,因其使用的第三方聊天软件里被注入恶意代码,包括Ticketmaster International、Ticketmaster UK、GETMEIN!和TicketWeb等相关平台均发生数据泄漏。
全球最大的票务网站——Ticketmaster,因其使用的第三方聊天软件里被注入恶意代码,包括Ticketmaster International、Ticketmaster UK、GETMEIN!和TicketWeb等相关平台均发生数据泄漏。根据BBC的报导,受影响的人可能在40000人以上。
事件经过
就在上月初,美国票务巨头Ticketfly也遭遇黑客攻击勒索,出现了严重的数据泄漏。Ticketmaster表示,他们在发现了这一漏洞后,立即停用了Inbenta公司托管的所有产品,因为被注入恶意代码的第三方聊天软件就是Inbenta托管的。Ticketmaster表示,目前只有不到5%的全球客户受到影响,但北美的客户没有受到影响。可以确定的是,泄漏的信息涉及用户的姓名、电子邮件地址、电话号码及信用卡信息。
在2017年9月至今年6月23日期间购买或试图购买活动门票的客户的个人信息均在可能被泄漏的范围内。
目前Ticketmaster尚未透露任何相关泄漏方面的技术细节,但他们已经向受影响的客户发送电子邮件进行提醒。
为了进一步预防风险,所有接收到电子邮件的客户下次登录时必须重置密码。
Ticketmaster当前正与安全专家合作日,试图及时解决问题。另外他们还专门建立了一个网站以回应客户关于Inbenta事件的疑问。
Inbenta的回应
Inbenta声称责任并非全在他们身上。他们认为,Ticketmaster是在未通知他们情况下,将这段恶意代码直接用在其支付网页上。结果这段代码被黑客发现、修改,再用来收集Ticketmaster客户的支付信息。
Ticketmaster并不是第一家遭遇数据泄露的在线零售服务公司,今年4月,Asimilar的攻击目标是百思买(Best Buy)、达美航空(Delta Airlines)、西尔斯(Sears)和凯马特(Kmart)。故此客户的姓名、地址和信用卡信息很可能被黑客窃取,但这些公司没有证实有多少客户受到了影响,也没有证实有多少个人信息在黑客入侵中被窃取。
如果本次攻击属实,那5月底新实施的GDPR将针对企业处以最高4%的公司营收或2000万欧元的罚金。
为何票务泄漏事件不断发生
现实情况是,如今所有企业都依赖复杂的网络供应链,包括使用免费的开源软件,自定义的第三方组件或购买的现成应用程序。Ticketmaster产品营销经理表示:
今天,公司被迫要承担整个供应商的安全风险,因为在整个技术供应链中,强制要求一致的安全水平是不切实际的。
对黑客们来说,安全水平参差不齐的技术供应链,让他们有了网络渗透的机会。在对目标发起攻击时,可以通过其中一个环节来入手,漏洞中最臭名昭着的就是“HVACKer”。2017年,以色列本-古里安大学(Ben-GurionUniversity of theNegev)网络安全研究中心一组研究人员发现,HVAC(供热通风与空气调节)系统能桥接隔离网络与外部世界,远程攻击者可借此向目标隔离网络中的恶意软件发送命令。
此类攻击场景被命名为“HVACKer”——依赖定制恶意软件与计算机热传感器交互读取温度变化,并将其转换成二进制代码。
在理想的安全世界中,任何创建应用程序的公司都应该使开发人员能够在整个软件开发生命周期(SDLC)中考虑安全最佳实践,并提供适当的培训甚至安全认证,特别是与交易网站交互的每个插件都需要在决策过程中进行安全审查。