Jak nie reagować na incydenty i nie chronić danych kart kredytowych klientów

Wczoraj opisaliśmy wyciek danych klientów firmy Ticketmaster. Okazuje się, że historia warta jest jest głębszego poznania, ponieważ Ticketmaster popełnił wiele błędów – ale lepiej uczyć się na cudzych pomyłkach niż własnych.

Przypomnijmy – Ticketmaster, popularny w wielu krajach serwis sprzedający bilety, poinformował swoich klientów, że jeżeli dokonywali transakcji między wrześniem 2017 a czerwcem 2018, to ich dane osobowe oraz płatnicze mogły trafić w niepowołane ręce. Autorzy komunikatu zapomnieli jednak wspomnieć, że o incydencie powinni wiedzieć od lutego, kwietnia i maja, bo szans mieli wiele.

Przebieg incydentu

Ticketmaster używał bezpośrednio na swojej stronie WWW usługi firmy Inbenta, zapewniającej możliwość czatu z klientami. Skrypty Inbenta były wczytywane z serwerów dostawcy. Ktoś w lutym 2018 włamał się na te serwery i dodał do skryptu Ticketmastera dodatkową linijkę kodu, która wykradała dane transakcji i przesyłała na zewnętrzny serwer. Mechanizm przestępców działał do 23 czerwca 2018.

Sygnały z lutego 2018

Jak odkrył Kevin Beaumont, już 14 lutego niektóre firmy antywirusowe oraz zajmujące się filtrowaniem ruchu w sieci zaczęły wykrywać plik z dodaną linijką złośliwego kodu jako niebezpieczny. Niestety najwyraźniej nikt nie zwrócił na ten fakt uwagi.

Zgłoszenie z kwietnia 2018

Nadużycia związane z płatnościami za pomocą kart kredytowych są zmorą banków, ale z drugiej strony istnieją dość proste narzędzia pomagające wykryć źródło wycieku informacji. Jeśli duży bank widzi falę reklamacji klientów dotyczącą nieautoryzowanych transakcji wykonanych za pomocą ich kart, to porównując, gdzie ofiary nadużyć robiły ostatnio zakupy, może szybko ustalić podmiot odpowiedzialny za wyciek. Nie wymaga to żadnych zaawansowanych mechanizmów detekcji i pomaga szybko informować podmioty, które padły ofiarą włamywaczy. Co ciekawe, z reguły te informacje nie trafiają do wiedzy ogółu, bank wymienia karty, sklep łata dziury lub usuwa rosyjskich hakerów ze swojej sieci i życie toczy się dalej. Przykład Ticketmastera pokazuje jednak, że nie zawsze wszystko dzieje się według tego samego scenariusza.

Monzo, nowoczesny brytyjski fintech typu „bank w komórce”, ogłosił, że już 6 kwietnia 2018 wykrył incydent powiązany z wyciekiem danych kartowych z Ticketmastera. Ok. 50 klientów banku zgłosiło tego dnia nadużycia na swoich rachunkach, a szybka analiza wykazała, że 70% tych klientów użyło swojej karty do zakupów w Tickemasterze między grudniem 2017 a kwietniem 2018. Incydent został zgłoszony do Secret Service. Z uwagi na kolejne nieautoryzowane transakcje odbywające się według tego samego wzorca Monzo skontaktował się bezpośrednio z Ticketmasterem. Pracownicy Ticketmastera nawet odwiedzili siedzibę Monzo, by porozmawiać o incydencie. Monzo wymieniło karty tym swoim klientom, którzy płacili w Ticketmasterze.

A second 💗💗💗 for @monzo from me today – talk about proactive ! pic.twitter.com/KipznyIVXz

— Dan (@dan_graf) April 19, 2018

Co zrobił Ticketmaster? Przeprowadził śledztwo i… nie natrafił na ślady wycieku.

Zgłoszenie z maja

Jeden z internautów zgłosił Ticketmasterowi odkrycie złośliwej linijki JavaScriptu w kodzie modułu zewnętrznego dostawcy, obsługującego czat dla klientów. Zgłaszający wskazał, że dane osobowe i finansowe klientów Tickemastera lądują na serwerze w ZEA. W odpowiedzi usłyszał… że wszystko jest w porządku, a moduł służy do czatu. Nikt nie zajął się na poważnie jego zgłoszeniem.

@Ticketmaster_NZ pic.twitter.com/MYFZy88SUc

— Shane Langley (@AskewDread) May 7, 2018

Nie bądźcie jak Ticketmaster

Ticketmaster dostał od losu co najmniej trzy szanse na wcześniejsze wykrycie incydentu. Niestety z żadnej z nich nie skorzystał. Przyjrzyjcie się procesom w swojej firmie i zastanówcie, czy np. osoby obsługujące Twittera będą potrafiły prawidłowo rozpoznać zgłoszenie podobnego błędu na Waszej stronie. I lepiej zróbcie to, zanim zostaniecie bohaterami naszego artykułu :)