รายงาน: เครือข่ายการฉ้อโกงครั้งใหญ่เปิดโปงกำหนดเป้าหมายกลุ่มผู้ขายตั๋ว & ออนไลน์

ทีมวิจัยของ vpnMentor นำโดย Noam Rotem และ Ran Locar เปิดเผยเมื่อเร็ว ๆ นี้ การดำเนินการทางอาญาครั้งใหญ่ที่มีการฉ้อโกง Groupon และผู้จำหน่ายตั๋วออนไลน์รายใหญ่อื่น ๆ อย่างน้อยตั้งแต่ปี 2559.

ในฐานะที่เป็นส่วนหนึ่งของโครงการวิจัยการทำแผนที่เว็บขนาดใหญ่เราค้นพบ แคช 17 ล้านอีเมลในฐานข้อมูลที่ไม่ปลอดภัย. การวิจัยเบื้องต้นของเราชี้ให้เห็นว่าการละเมิดข้อมูลเป็นผลมาจากช่องโหว่ในแพลตฟอร์มการประมวลผลตั๋วที่ใช้โดย Groupon และผู้ขายตั๋วออนไลน์อื่น ๆ.

เมื่อทำการตรวจสอบต่อไป, เราเริ่มสงสัยองค์กรอาชญากรรมที่กว้างขึ้น อาจจะเป็นที่เล่น เราได้ทำงานเกี่ยวกับการละเมิดฐานข้อมูลที่คล้ายกันจำนวนมากและบางแง่มุมของสิ่งนี้ไม่ได้เพิ่มขึ้น หลังจากติดต่อ Groupon ด้วยความกังวลของเราแล้วเราจะเปิดเผยสิ่งที่เราค้นพบอย่างเต็มที่.

ฐานข้อมูลเป็นของเครือข่ายอาชญากรที่มีความซับซ้อน. ตั้งแต่ 2559 พวกเขาใช้ การรวมกันของอีเมลบัตรเครดิตและการฉ้อโกงตั๋ว ต่อ Groupon, Ticketmaster และผู้ขายอื่น ๆ.

Groupon พยายามปิดการดำเนินการนี้แล้ว ลดลงนับตั้งแต่เริ่มทำงาน แต่ได้พิสูจน์แล้วว่ามีความยืดหยุ่น.

เมื่อทำงานร่วมกับทีมรักษาความปลอดภัยของ Groupon เราอาจมี กุญแจสำคัญในการปิดการดำเนินการทางอาญาลง และทุกครั้ง.

ช่วงเวลาการค้นพบและสอบสวน

การตรวจสอบฐานข้อมูลนี้ของเราโดยความร่วมมือกับ Groupon นั้นเป็นอย่างไร อย่างต่อเนื่องเป็นเวลาหลายสัปดาห์ในขณะนี้. นี่คือการคาดหวังสำหรับการค้นพบขนาดและความร้ายแรงนี้.

มันเกิดขึ้นบางครั้งว่าขอบเขตของการละเมิดข้อมูลและเจ้าของข้อมูลชัดเจนและปัญหาได้รับการแก้ไขอย่างรวดเร็ว แต่หายากเป็นครั้งนี้ ส่วนใหญ่มักจะ, เราต้องการการตรวจสอบหลายวันก่อนที่เราจะเข้าใจว่ามีอะไรอยู่ในสเตค หรือใครกำลังรั่วข้อมูล.

ในกรณีนี้เราเริ่มสงสัยช่องโหว่ใน Neuroticket ซึ่งเป็นระบบส่งจดหมายที่เชื่อมโยงกับฐานข้อมูล ทีมของเราใช้เวลาสักครู่ในการค้นหาข้อมูลใด ๆ ในโปรแกรมเนื่องจากไม่มีร่องรอยใด ๆ ในอินเทอร์เน็ตยกเว้นหน้าตรวจสอบสิทธิ์และภายในฐานข้อมูล.

แม้หลังจากเราตัดสินใจที่จะทำตามผู้นำนี้, เราตระหนักว่าข้อมูลส่วนใหญ่ไม่สมเหตุสมผล. เราตัดสินใจที่จะตรวจสอบต่อไปแม้ว่าเราจะเปิดเผยสิ่งที่เราค้นพบแล้วให้กับ บริษัท โฮสติ้งและทิกเตอร์โดยที่พวกเขาตระหนักถึงปัญหานี้.

ในที่สุด, เราต้องส่งผลการวิจัยเบื้องต้นและเขียนรายงานใหม่ทั้งหมด, เพื่อสะท้อนขอบเขตของสิ่งที่เราค้นพบ.

การทำความเข้าใจเกี่ยวกับการฝ่าฝืนและสิ่งที่อยู่ในความสนใจจะต้องใส่ใจและเวลา. บริษัท ที่ได้รับผลกระทบบางแห่งปฏิเสธข้อเท็จจริงโดยไม่สนใจงานวิจัยของเราดังนั้นเราจำเป็นต้องตรวจสอบอย่างละเอียดและทำให้แน่ใจว่าทุกสิ่งที่เราค้นหานั้นถูกต้องและเป็นจริง.

เราทำงานหนักต่อไป การเผยแพร่รายงานที่ถูกต้องและเชื่อถือได้, เพื่อให้แน่ใจว่าทุกคนที่อ่านพวกเขาเข้าใจความจริงจังของพวกเขา นี่คือเหตุผลที่เราตัดสินใจที่จะเขียนรายงานทั้งหมดนี้ใหม่เพื่อให้สะท้อนถึงการสอบสวนของเรา.

สิ่งที่เราค้นพบ

ในระหว่างโครงการทำแผนที่เว็บประจำ Noam, Ran & ทีมค้นพบช่องโหว่ในฐานข้อมูลขนาดใหญ่ มันมีอยู่ 17 ล้านเรคคอร์ดและ 1.2 เทราไบต์ของข้อมูล – เป็นข้อมูลจำนวนมาก.

การฝ่าฝืน ดูเหมือนจะให้การเข้าถึงข้อมูลส่วนตัวของทุกคนที่ซื้อตั๋วจากเว็บไซต์ ใช้ Neuroticket เริ่มแรกเราเชื่อว่าช่องโหว่นี้ส่งผลกระทบต่อลูกค้าในเว็บไซต์เหล่านี้. 

การรั่วไหลนั้นรวมถึงพื้นที่เล็ก ๆ และสถานที่จัดงานอิสระหลายแห่งทั่วสหรัฐอเมริกา สิ่งเหล่านี้รวมถึง:

• แปซิฟิกตะวันตกเฉียงเหนือบัลเล่ต์

• Joffrey Ballet, ชิคาโก

• แคนซัสซิตี้บัลเล่ต์

• ดร. ฟิลลิปส์เซ็นเตอร์ออร์แลนโด

• Fox Theatre, จอร์เจีย

• บัลเล่ต์ออสตินออสติน

• บัลเล่ต์โคโลราโดเดนเวอร์

สองแห่ง ผู้จำหน่ายตั๋วรายใหญ่ที่สุดของอินเทอร์เน็ตก็ได้รับผลกระทบด้วยเช่นกัน: ทิ & Tickpick.

อย่างไรก็ตาม, 90% ของฐานข้อมูลที่เกี่ยวข้องบันทึกจากคูปองยอดนิยมและส่วนลดเว็บไซต์ Groupon, รวมเป็นเงินทั้งสิ้น 16 ล้านบาท สิ่งนี้สามารถอธิบายได้โดยจดหมายข่าวและอีเมลส่งเสริมการขายของ Groupon ซึ่งส่งถึง 5 ครั้งต่อวันต่อลูกค้าหนึ่งราย.

ด้านล่างเป็น 2 ตัวอย่างของรายการในฐานข้อมูล:

บันทึกที่น่าสงสัย

การค้นหาข้อมูลใด ๆ เกี่ยวกับ Neuroticket พิสูจน์ได้ยาก. เมื่อพิจารณาว่าซอฟต์แวร์ดังกล่าวเป็นที่นิยม แต่ก็ไม่มีเว็บไซต์.

ในขณะเดียวกัน, เราเริ่มสงสัยว่าที่อยู่อีเมลจำนวนมากในฐานข้อมูลนั้นเป็นของปลอม. เพื่อทดสอบทฤษฎีนี้เราสุ่มเลือกที่อยู่อีเมล 10 รายการและติดต่อเจ้าของที่ชัดเจน มีเพียงคนเดียวที่ตอบกลับเรา.

ในที่สุดเราก็ติดต่อ Groupon, เนื่องจากคิดเป็น 90% ของอีเมลในฐานข้อมูลนำเสนอสิ่งที่ค้นพบและข้อสงสัยของเราต่อทีมรักษาความปลอดภัย เราได้เรียนรู้ธรรมชาติที่แท้จริงของการค้นพบของเรา.

เปิดเผยเครือข่าย

หลังจากส่งผลการวิจัยของเราไปยัง Groupon พวกเขาสามารถวิเคราะห์ฐานข้อมูลด้วยตนเองอ้างอิงข้ามกับข้อมูลจากระบบภายในของพวกเขา.

ณ จุดนี้, ทีมรักษาความปลอดภัยของ Groupon เชื่อมโยงฐานข้อมูลนี้กับเครือข่ายอาชญากรรมที่พวกเขาไล่ล่ามาตั้งแต่ปี 2559.

ปีนั้นเป็นการดำเนินคดีอาญา เปิดบัญชีหลอกลวง 2 ล้านบัญชีบน Groupon. กับ บัตรเครดิตที่ถูกขโมย, พวกเขาใช้บัญชีเพื่อซื้อตั๋วบนเว็บไซต์แล้วขายต่อให้กับผู้บริสุทธิ์ทางออนไลน์.

Groupon สามารถปิดบัญชีส่วนใหญ่ได้, แต่ไม่ใช่ทั้งหมด การดำเนินการยังคงมีความยืดหยุ่นแม้จะมีงานที่ยอดเยี่ยมโดย บริษัท การประเมินความปลอดภัยของข้อมูล (CISO) ของหัวหน้า Groupon จำนวนบัญชีที่ฉ้อโกงในเครือข่ายที่เราช่วยเปิดเผยได้สูงถึง 20,000.

เมื่อทำงานร่วมกับทีมวิจัยของเรา Groupon ก็สามารถทำได้ วิเคราะห์ข้อมูลและในที่สุดก็เป็นศูนย์ในเครือข่ายอาชญากรรมทั้งหมด.

ตั้งแต่ต้นกระบวนการนี้ CISO ของ Groupon ได้รับความร่วมมืออย่างแข็งขันเชิงรุกและเป็นมืออาชีพอย่างไม่น่าเชื่อ อย่างไรก็ตามในบางจุดพวกเขาหยุดตอบกลับและเราถูกทิ้งไว้โดยไม่มีคำตอบ.

วิธีการที่ Fraud ทำงาน

การดำเนินการตรวจสอบกล่องจดหมายอีเมลของพวกเขาเชื่อมโยงกับบัญชีที่หลอกลวง, กรองอีเมลที่เกี่ยวข้องลงในฐานข้อมูล Elastisearch เพื่อทำการวิเคราะห์. จากนั้นพวกเขา ดึงตั๋วจากอีเมล – ในรูปแบบ PDF สำหรับ Groupon เป็นต้น – และละเว้นอีเมลอื่น ๆ ที่ไม่เกี่ยวข้อง.

แล้วพวกเขาก็จะตาม Groupon, ขายตั๋วเหล่านี้ให้กับสมาชิกที่ไม่สงสัยของสาธารณะ.

รวมอยู่ในฐานข้อมูลที่ละเมิดคืออีเมลสนับสนุนและบันทึกการแชทจาก Groupon เกี่ยวกับการคืนเงินให้กับลูกค้า. 

นี้คือ หลักฐานเพิ่มเติมว่าจริง ๆ แล้วฐานข้อมูลไม่ได้เชื่อมโยงกับผู้จำหน่ายตั๋วที่ได้รับผลกระทบหรือ Groupon. แต่กลับแนะนำว่า ฐานข้อมูลเชื่อมโยงกับกล่องจดหมายเข้าของอีเมลที่เป็นของบุคคลที่เป็นอิสระ – ในกรณีนี้เจ้าของฐานข้อมูล.

เกลียวแดกดัน

ในขณะที่ทำการวิจัยทีมของเราพบ หมายเหตุเรียกค่าไถ่เฉพาะที่ฝังอยู่ภายในฐานข้อมูล.

อ้างว่าได้ดึงข้อมูลจากฐานข้อมูลแล้ว เรียกร้องค่าไถ่ $ 400 ใน Bitcoin, เพื่อแลกเปลี่ยนกับการไม่ปล่อยข้อมูลที่ถูกขโมยไปสู่สาธารณะและต่อมาก็ทำการลบทิ้ง.

มันดูเหมือน, มีแฮ็กเกอร์อาชญากรอย่างน้อยหนึ่งรายที่ได้ทำการแฮ็กฐานข้อมูลแล้ว. ไม่เข้าใจสิ่งที่ค้นพบพวกเขากำลัง พยายามรีดไถเจ้าของ.

นี่เป็นปัญหาที่ทราบกันดีกับฐานข้อมูลที่เปิดอยู่จำนวนมาก โดยปกติจะถูกเรียกใช้งานโดยสคริปต์อัตโนมัติและไม่ใช่โดยมนุษย์.

ผลกระทบของการทุจริต

Groupon ใช้เวลา 3 ปีในการตรวจสอบและไล่ล่าเครือข่ายอาชญากรรมนี้. ในเวลานั้นพวกเขาลงทุนเวลาเงินและ แหล่งข้อมูลที่พยายามจะปิดระบบ.

การฉ้อโกงที่ถูกกระทำโดยใช้ฐานข้อมูลนี้มี ไม่ต้องสงสัยเลยว่าทำให้ บริษัท มีรายได้ที่สำคัญ.

ในที่สุดการดำเนินการทั้งหมดก็สามารถทำได้ ปิดมันลงให้ดี.

เราค้นพบการละเมิดข้อมูลนี้อย่างไรและทำไม

เราพบว่าข้อมูลนี้รั่วไหลเป็นส่วนหนึ่งของ โครงการทำแผนที่เว็บขนาดใหญ่อย่างต่อเนื่องของเรา. Ran และ Noam สแกนพอร์ตอินเทอร์เน็ตเพื่อค้นหาบล็อก IP ที่รู้จักและใช้บล็อคเหล่านี้เพื่อค้นหาช่องโหว่ในระบบเว็บของ บริษัท เมื่อพบรูเหล่านี้ทีมจะค้นหาช่องโหว่ที่จะนำพวกเขาไปสู่การละเมิดข้อมูล.

เมื่อพวกเขาพบข้อมูลที่รั่วไหลพวกเขาใช้เทคนิคผู้เชี่ยวชาญหลายอย่างเพื่อยืนยันตัวตนของฐานข้อมูล.

ในฐานะที่เป็นแฮ็กเกอร์ที่มีจริยธรรมเรามักจะติดต่อกับเจ้าของฐานข้อมูลหรือเว็บไซต์ที่ได้รับผลกระทบและร่างข้อบกพร่องด้านความปลอดภัยที่เราค้นพบ ในกรณีนี้เราตัดสินใจติดต่อ Groupon และผู้จำหน่ายตั๋วรายอื่น.

นอกจากนี้เรายังมีความรับผิดชอบต่อสาธารณะ ถ้าเป็นไปได้, เราจะแจ้งเตือนฝ่ายอื่น ๆ ที่ได้รับผลกระทบจากการละเมิดเช่นลูกค้าลูกค้าหรือผู้ใช้เว็บไซต์.

จุดประสงค์ของการฝึกคือการทำให้อินเทอร์เน็ตปลอดภัยสำหรับทุกคน.

เกี่ยวกับเราและรายงานก่อนหน้า

vpnMentor เป็นเว็บไซต์ตรวจสอบ VPN ที่ใหญ่ที่สุดในโลก ห้องปฏิบัติการวิจัยของเราเป็นบริการแบบมืออาชีพที่พยายามช่วยเหลือชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับการปกป้องข้อมูลของผู้ใช้. 

เราเพิ่งค้นพบการละเมิดข้อมูลขนาดใหญ่ที่ส่งผลกระทบต่อ 80 ล้านครัวเรือนในสหรัฐอเมริกา นอกจากนี้เรายังเปิดเผยว่าการละเมิดใน Biostar 2 ส่งผลต่อข้อมูลไบโอเมตริกซ์มากกว่า 1 ล้านคน คุณอาจต้องการอ่านรายงานการรั่วไหลของ VPN และรายงานสถิติความเป็นส่วนตัวของข้อมูล.

เมื่อพูดถึงเรื่องความปลอดภัยและคูปองคุณอาจต้องการตรวจสอบหน้า“ คูปอง VPN ที่ดีที่สุด” ของเรา เราไม่สามารถแฮ็คไซต์ของคุณได้ แต่เราสามารถช่วยคุณปกป้องพีซีของคุณได้.