更新「研究者が保護されていない公開クラウド ホスト データベースを発見」というストーリーに新たな展開があり、最近発見されたアーカイブの 1 つが、長年にわたる詐欺行為の中心であったことが判明しました。
VPNmentorのスタッフは、チケット購入サイトの多数のアカウントの詳細を含む謎のデータベースに初めて遭遇した際、混乱したと述べています。これらのプロフィールはすべて、小規模な独立系劇場や音楽会場でのイベントに興味を持っているように見えました。
基本的に、一団の詐欺師が詐欺に使用するために作成したオンライン アカウントの独自のデータベースを構築し、その後、そのデータベースを誤ってパブリック インターネットに公開したままにしてしまったのです。
「今回の侵害により、Neuroticket を利用してウェブサイトでチケットを購入した人の個人情報が盗まれたようです」と、ノアム・ロテム氏とラン・ロカー氏が率いるVPNmentorチームは水曜日に説明した。「当初、この脆弱性によってこれらのウェブサイトの顧客が被害に遭ったと考えていました。」
さらに興味深いのは、チームがデータベースにリストされている電子メールアドレスの所有者を追跡しようとしたとき、返答がほとんどなかったことです。これは、大部分が犯罪者が悪意や詐欺のために作成した偽のアカウントであることを示していました。
Neuroticket、Ticketmaster、Tickpick の侵害と記録を結び付ける取り組みがすべて行き詰まったとき、チームは記録の約 90 パーセントが Groupon にも言及していることに気付きました。
VPNmentorチームがGrouponに連絡を取ったところ、突破口が開かれました。アカウントはすべて、Grouponのセールで販売されていたライブ、演劇、コンサートのチケット購入に使用されていたことが判明しました。さらに、VPNmentorチームによると、Grouponはこれらの購入が2016年から追跡していた詐欺グループによるものだとすぐに認識したとのことです。
この事件の詐欺師たちは、多数の偽アカウントと盗んだクレジットカード番号を利用して、グルーポンで割引価格で販売されていたチケットを大量に購入し、その後、正規価格(あるいは値上げ)で転売して、短期間で利益を上げました。
「グルーポンはほとんどのアカウントを閉鎖できたものの、全てを閉鎖できたわけではない。同社の素晴らしい対応にもかかわらず、事業は依然として堅調に推移している」とVPNmentorのチームは記事の中で述べている。
「グルーポンの最高情報セキュリティ責任者(CISO)は、私たちが発見に協力したネットワーク内の不正アカウントの数は2万件に上ると見積もっています。」
サイバー犯罪者がダークウェブでフィッシングされた詳細を販売して得たビットコイン92万3千ポンドを警察に渡す
続きを読む
さらに奇妙なことに、VPNmentorのチームがデータベースの記録を精査していたところ、公開されたサイロに偶然遭遇した別のハッカーからのメモを発見したのです。
「データベースから情報を抽出したと主張し、盗んだデータを公開せず、その後削除する代わりにビットコインで400ドルの身代金を要求した」とチームは指摘している。
少なくとも1人の犯罪ハッカーが既にデータベースをハッキングしたようです。彼らは発見した内容を理解せず、データベースの所有者から金銭を巻き上げようとしているようです。
英国在住のバグハンター、オリバー・ハフ氏も、しばらく前にこのデータベースを見つけたが、グルーポンとの関連は見出せなかったと述べている。
— オリバー・ハフ弁護士(@olihough86)2019年9月11日まさか!去年これを見つけて、Grouponに報告して、持ち主を探そうとしたけど、結局諦めた
素晴らしい仕事ですね! https://t.co/WAw1ugVzJ6
教訓は、いつものように、クラウドデータベースインスタンスを常に監視し、パブリックアクセスが無効になっていることを確認することです。たとえあなたが犯罪者であっても。®
追加更新
グルーポンは、この件に関する報道を受けて、自社のシステムが犯罪者に侵害されたわけではないこと、そして漏洩したデータベースにはマーケティングメールが大量に含まれていたようだと強調する連絡を当社に送ってきました。グルーポンは、犯罪者による購入は673件以下だと付け加えました。
さらに、グルーポンは、VPMmentorが主張するように、このデータベースが2016年の調査と関連しているかどうかは不明だと述べています。「類似点はいくつかありますが、関連性や繋がりを示す証拠はありません」と、バウチャービジネスの広報担当者は述べています。
