Raporti: Rrjeti i Mashtruar i Mashtrimit të Mbuluar, Targeting Groupon & Shitësve të Biletave Online

Ekipi hulumtues i vpnMentor, i udhëhequr nga Noam Rotem dhe Ran Locar, u ekspozua kohët e fundit një operacion masiv kriminal që po mashtron Groupon dhe shitësit e tjerë të mëdhenj të biletave në internet të paktën që nga viti 2016.

Si pjesë e një projekti hulumtues më të madh për hartografimin në internet, ne zbuluam një cache prej 17 milion email në një bazë të dhënash të pasigurt. Hulumtimi ynë fillestar sugjeroi që shkelja e të dhënave ishte rezultat i një dobësie në një platformë të përpunimit të biletave të përdorur nga Groupon dhe shitësit e tjerë të biletave në internet.

Pas hetimit të mëtejshëm, megjithatë, filluam të dyshonim për një ndërmarrje më të gjerë kriminale mund të jetë në lojë. Ne kemi punuar në shumë shkelje të ngjashme të bazës së të dhënave, dhe disa aspekte të kësaj nuk i shtuan. Pasi kontaktuam Groupon me shqetësimet tona, u zbulua shtrirja e plotë e asaj që ne zbuluam.

Baza e të dhënave i përkiste një rrjeti të sofistikuar kriminal. Që nga viti 2016, Ata kanë përdorur një kombinimi i postës elektronike, kartës së kreditit dhe mashtrimit të biletave kundër Groupon, Ticketmaster dhe shumë shitës të tjerë.

Groupon është përpjekur të mbyllë këtë operacion që nga fillimi, por ajo ka dëshmuar se është elastike.

Duke punuar së bashku me ekipin e sigurisë të Groupon, mund të kemi tani çelësi i mbylljes së operacionit kriminal një herë e përgjithmonë.

Afati kohor për zbulimin dhe hetimin

Hetimi ynë për këtë bazë të dhënash, në bashkëpunim me Groupon, ka qenë duke vazhduar për disa javë tani. Kjo pritet për një zbulim të kësaj madhësie dhe serioziteti.

Ndonjëherë ndodh që shkalla e një shkelje të të dhënave dhe pronarit të të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por janë të rralla këto kohë. Më shpesh, na duhen ditë hetimi përpara se të kuptojmë se çfarë është në diskutim ose kush po i jep të dhënat.

Në këtë rast, fillimisht dyshuam për një cenueshmëri në Neuroticket, një sistem postimesh i lidhur me bazën e të dhënave. U desh ekipi ynë mjaft kohë për të gjetur të dhëna mbi programin, pasi nuk kishte asnjë gjurmë të tij askund në internet, përveç një faqe autentikimi dhe brenda bazës së të dhënave.

Edhe pasi vendosëm të ndjekim këtë epërsi, kuptuam që shumica e të dhënave nuk kishin kuptim. Ne vendosëm të hetojmë më tej, edhe pse tashmë i kishim zbuluar gjetjet tona për kompaninë pritëse dhe Ticketmaster, duke menduar se ata ishin të vetëdijshëm për këtë çështje.

Në fund, na është dashur të heqim rezultatet fillestare të hulumtimit dhe të shkruajmë një raport krejt të ri, për të pasqyruar fushën e asaj që kishim zbuluar.

Kuptimi i një shkelje dhe ajo që është në diskutim merr vëmendje dhe kohë të kujdesshme. Disa kompani të prekura mohojnë faktet, duke mos marrë parasysh hulumtimin tonë, kështu që ne duhet të jemi të plotë dhe të sigurohemi që gjithçka që gjejmë është e saktë dhe e vërtetë.

Ne punojmë shumë botimi i raporteve të sakta dhe të besueshme, për të siguruar që të gjithë ata që i lexojnë ata e kuptojnë seriozitetin e tyre. Kjo është arsyeja pse ne vendosëm të rishkruajmë këtë raport të tërë, për të pasqyruar më mirë javët tona të hetimit.

Wefarë zbuluam

Gjatë një projekti rutinë të hartës së faqeve në internet, Noam, Ran & ekipi zbuloi një shkelje në një bazë të dhënash masive. Ai përmbante 17 milion regjistrime dhe 1.2 terabajt të të dhënave – një sasi e madhe informacioni.

Shkelja dukej se i jepnin qasje detajeve personale të secilit që blinte bileta nga një faqe në internet duke përdorur Neuroticket. Fillimisht, ne besuam se kjo dobësi kompromentoi klientët në këto faqe interneti. 

Rrjedhjet përfshinin shumë hapësira të vogla, të pavarura dhe ngjarje të ndryshme nëpër SH.B.A. Këto përfshijnë:

  • Baleti Veriperëndimor i Paqësorit
  • Joffrey Ballet, Chicago
  • Baleti i Kansas City
  • Phillips Center, Orlando
  • Teatri Fox, Georgia
  • Baleti Austin, Austin
  • Baleti Kolorado, Denver

Dy nga Shitësit më të mëdhenj të biletave në internet u prekën gjithashtu: Ticketmaster & Tickpick.

megjithatë, 90% e bazës së të dhënave përfshin regjistrime nga kuponi popullor dhe zbritjet në faqen e internetit Groupon, gjithsej 16 milion. Kjo mund të shpjegohet nga gazetat dhe postat elektronike promovuese të Groupon, të dërguara deri në 5 herë në ditë, për çdo klient.

Më poshtë janë dy shembuj të hyrjeve në bazën e të dhënave:

Regjistrime të dyshimta

Gjetja e ndonjë informacioni mbi Neuroticket ishte e vështirë. Duke marrë parasysh se dukej një pjesë e programeve të njohura, ai nuk kishte as një uebfaqe.

ndërkohë, filluam të dyshonim se shumë prej adresave të postës elektronike në bazën e të dhënave ishin false. Për të provuar këtë teori, ne përzgjodhëm rastësisht 10 adresë emaili dhe kontaktuam pronarët e dukshëm. Vetëm një person na u përgjigj.

Më në fund, ne kontaktuam me Groupon, pasi llogaritnin 90% të postave elektronike në bazën e të dhënave, duke paraqitur gjetjet dhe dyshimet tona te ekipi i tyre i sigurisë. Atëherë ne mësuam natyrën e vërtetë të zbulimit tonë.

Zbulimi i Rrjetit

Pas dorëzimit të rezultateve të hulumtimit tonë në Groupon, ata ishin në gjendje të analizojnë vetë bazën e të dhënave, duke e referuar atë me informacione nga sistemet e tyre të brendshme..

Në këtë pikë, Ekipi i sigurisë i Groupon e lidhi këtë bazë të dhënash me një rrjet kriminal që ata e ndiqnin që nga viti 2016.

Atë vit, një operacion kriminal hapi 2 milion llogari mashtruese në Groupon. me kartat e kreditit të vjedhura, ata përdorën llogaritë për të blerë bileta në faqe, dhe pastaj i rishitin ato tek njerëzit e pafajshëm në internet.

Groupon kishte arritur të mbyllte shumicën e llogarive, por jo të gjithë. Operacioni ka mbetur elastik, përkundër punës së shkëlqyer të kompanisë. Vlerësimet e Zyrtarit Kryesor të Sigurisë së Informacionit (CISO) numri i llogarive mashtruese në rrjet ne kemi ndihmuar të zbulojmë të jetë deri në 20,000.

Duke punuar së bashku me ekipin tonë hulumtues, Groupon ka qenë në gjendje ta bëjë analizoni të dhënat dhe më në fund zero në të gjithë rrjetin kriminal.

Që nga fillimi i këtij procesi, CISO e Groupon ka qenë tepër bashkëpunues, proaktiv dhe profesional. Sidoqoftë, në një moment ata ndaluan të përgjigjeshin dhe ne mbetëm pa përgjigje.

Si funksionoi mashtrimi

Operacioni monitoroi kutitë e tyre të postës elektronike të lidhura me llogaritë mashtruese, filtrimi i postave përkatëse në bazën e të dhënave Elastisearch për analiza. Nga atje, ata nxjerrë bileta nga postat elektronike – në formë PDF për Groupon, për shembull – dhe injoroi çdo email tjetër të parëndësishëm.

Atëherë ata do të thonin, sipas Groupon, rishitni këto bileta tek anëtarët e dyshimtë të publikut.

Gjithashtu u përfshinë në bazën e të dhënave të shkelur ishin email-e mbështetës dhe log-chat nga Groupon, në lidhje me rimbursimet e dhëna klientëve. 

Kjo ishte prova të mëtejshme që baza e të dhënave nuk ishte në të vërtetë e lidhur me shitësit e biletave të prekur ose Groupon. Në vend të kësaj, ajo sugjeroi që baza e të dhënave u lidh me kutitë e postës elektronike që i përkisnin një pale të pavarur – në këtë rast, pronari i bazës së të dhënave.

Një kthesë irronike

Ndërsa kryen studimet e tyre, ekipi ynë gjeti një shënim karakteristik shpërblyese i ngulitur brenda bazës së të dhënave.

Duke pretenduar se kanë nxjerrë informacione nga baza e të dhënave, ajo kërkoi një shpërblesë prej 400 dollarë në Bitcoin, në këmbim të mos publikimit të të dhënave të vjedhura në publik dhe fshirjes së tij.

Duket, të paktën një haker kriminel tashmë ka hakuar bazën e të dhënave. Duke mos kuptuar atë që ata zbuluan, ata janë duke u përpjekur të zhvatë pronarët e saj.

Kjo është një çështje e njohur me shumë të dhëna të hapura. Zakonisht nxitet nga skriptet e automatizuara dhe jo manualisht nga njerëzit.

Ndikimi i mashtrimit

Groupon ka kaluar 3 vjet duke hetuar dhe ndjekur këtë rrjet kriminal. Në atë kohë, ata kanë investuar shumë kohë, para dhe burimet që përpiqen ta mbyllin atë.

Mashtrimi që kryhet duke përdorur këtë bazë të dhënash ka pa dyshim i kushtoi kompanisë të ardhura të konsiderueshme.

Me të gjithë ekspozimin përfundimisht të ekspozuar, ata munden mbylleni mirë.

Si dhe pse e zbuluam këtë shkelje të të dhënave

Ne e gjetëm këtë rrjedhje të të dhënave si pjesë e projekti ynë në vazhdim, në shkallë të gjerë të hartografimit të uebit. Ran dhe Noam skanojnë portet e internetit që kërkojnë blloqe IP të njohura dhe përdorin këto blloqe për të gjetur vrimat në sistemin e internetit të një kompanie. Sapo të gjenden këto vrima, ekipi kërkon për dobësi që do t’i çojnë ata në një shkelje të të dhënave.

Kur ata gjejnë të dhëna të lëshuara, ata përdorin disa teknika ekspertësh për të verifikuar identitetin e bazës së të dhënave.

Si hakerë etikë, ne normalisht i arrijmë pronarët e bazës së të dhënave ose faqet e internetit të prekura dhe përshkruajmë të metat e sigurisë që zbulojmë. Në këtë rast, ne vendosëm të kontaktojmë Groupon dhe shitësit e tjerë të biletave.

Ne gjithashtu mbajmë një përgjegjësi para publikut. Nëse është e mundur, ne gjithashtu do të paralajmërojmë çdo palë tjetër të prekur nga shkelja, të tilla si klientët, klientët ose përdoruesit e një faqe në internet.

Qëllimi i ushtrimit është të ndihmojë në bërjen e internetit më të sigurt për të gjithë.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre. 

Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam se një shkelje në Biostar 2 komprometoi të dhënat biometrike të mbi 1 milion njerëzve. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

Duke folur për sigurinë dhe kuponat, ju mund të dëshironi të shikoni faqen tonë “kuponat më të mirë VPN”. Ne nuk mund ta zgjidhim faqen tuaj, por mund t’ju ndihmojmë të mbroni kompjuterin tuaj.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me