オンライン銀行のモンゾは、チケット販売大手のチケットマスターに対し、決済ページがハッキングされたと明らかにする2カ月前の4月初旬に、何か異常なことが起きていると警告していたと発表した。
Monzoは、12月以降にTicketmasterでチケットを購入し、カードに不正利用があった顧客が異常な数いることを検知したため、スタッフは両者が関連していると判断した。今週木曜日、Ticketmasterのスタッフが証拠を確認するため、この新興銀行のオフィスを訪れたことがわかった。
モンゾによれば、4月6日に50人の顧客が、誰かが自分の銀行カードを乗っ取ってお金を使ったと苦情を申し立てており、そのうち35人(70%)がチケットマスターを利用していたという。
「これは異例のことでした。当社の顧客全体のうち、チケットマスターを利用したのはわずか0.8%だったからです」と、モンゾの金融犯罪対策責任者であるナターシャ・バーニエ氏は述べた。1週間後の4月19日、チケットマスターは新興銀行に対し、バーニエ氏の言葉を借りれば、「内部調査で不正侵入の証拠は見つからず、他の銀行も同様のパターンを報告していない」と伝えた。
今週6月27日に早送りすると、チケットマスターは、ハッカーが同社の顧客ベースの最大5%の個人情報と機密の支払いカード情報にアクセスしたことを認めた。
2018年6月までの数ヶ月間、Ticketmasterの決済ページのJavaScriptコードを不正に改変し、ユーザーの情報を盗み出すことに成功しました。チケット販売会社であるTickermasterに対し、サイバー攻撃をいつ知ったのか、そしてMonzoの発見がなぜ数ヶ月前に公表されなかったのかを尋ねました。Tickermasterはこれに対し、以下の声明を発表しました。
実際、チケットマスターはセキュリティ問題の責任をサードパーティサプライヤーのInbentaに押し付けました。米国に拠点を置くInbentaは、チケットマスターのカスタマーサポートサイトのコードに加え、チケットマスター専用にカスタマイズされたJavaScriptコードを開発・ホスティングしていました。Inbentaによると、このJavaScriptコードはInbentaの許可なく決済ページに埋め込まれていました。このコードは安全ではなく、ハッカーによってInbentaのサーバー上のファイルが改ざんされ、最終的にはチケット購入者の情報を盗み見るために悪用されたため、これは不適切でした。
FAQによると、JavaScriptは「Webフォームのファイルアップロード機能に影響を与える脆弱性だった。攻撃者はこの脆弱性を悪用したようだ」とのことだ。
チケットマスターの不正アクセス:コンサート参加者の個人情報や支払い情報がサポートサイトのマルウェアに盗み取られる
続きを読む
「カスタマイズされたスクリプトがこのように使用されていると知っていたら、脆弱性のリスクが高まるため、私たちはそれを勧めなかっただろう」とインベンタのジョルディ・トーラスCEOは声明で述べた。
犯罪者たちは、Inbenta のサーバーにホストされているこのスクリプト コードを「Ticketmaster の顧客の支払い情報を抜き出すために」改変したと伝えられている、と Torras 氏は語った。
つまり、Inbentaはハッキングされ、Ticketmasterのサイトで使用されているJavaScriptを改変され、機密データが盗まれたのです。Monzoは4月にTicketmasterに関連した不正行為を発見したと発表しました。Ticketmasterはシステムを調査しましたが、ハッキングの痕跡は見つかりませんでした。その後、6月にはTicketmasterは、自社サイト上のInbentaのJavaScriptコードが乗っ取られ、コンサート参加者の支払い情報が盗まれたことを発見したと発表しました。
「データ漏洩の原因は、チケットマスターの特定の要件を満たすためにインベンタがカスタマイズした単一のJavaScriptコードでした」とトーラス氏は述べた。「このコードはインベンタの製品の一部ではなく、当社の他の実装にも存在しません。チケットマスターは、当社チームに通知することなく、このスクリプトを支払いページに直接適用しました。」
インパクト
今年2月から6月23日までの間にチケットマスターでチケットを購入した、または購入しようとした英国の顧客、そして2017年9月から今週初めまでにクレジットカードを提示した海外の顧客が危険にさらされました。最大4万人の英国人の個人情報が盗み取られました。
データセキュリティ企業エグレスの最高経営責任者トニー・ペッパー氏は、モンゾの警告が完全に守られていれば、影響を受ける顧客は少なかっただろうと語った。
「今朝、この情報漏洩と、チケットマスターが実際にいつそれを発見したかについて、眉をひそめる人が出るだろう」とペッパー氏は語った。
「データがしばらくの間危険にさらされていたことは明らかで、チケットマスターはこの問題について警告を受けていたにもかかわらず、警告を無視していたようです。現在、データ漏洩の報告が重視され、GDPRに基づく変更にも反映されていることを考えると、ICOがこの件の真相を究明した際にどのような反応を示すかは興味深いところです。」
ポジティブ・テクノロジーズのサイバーセキュリティ・レジリエンス責任者、リー・アン・ギャロウェイ氏は次のようにコメントしています。「ハッカーは長年にわたり、ウェブサイトやその他の接続アプリケーションの脆弱性を侵入口として利用してきました。一度脆弱性を突けば、データベース、ウェブサーバー、その他の重要なインフラへの侵入は容易です。チケットマスターでまさにそれが起きたようです。そして、料金を支払うのは顧客なのです。」
チケットマスターは、この侵入に対し、不正な侵入を受けた可能性のあるユーザーに連絡を取り、12ヶ月間の無料ID監視サービスを提供しました。悪意のあるJavaScriptコードは、チケットマスターの顧客名、住所、メールアドレス、電話番号、支払い情報、ログイン情報を盗み出しました。影響を受けたユーザーには、パスワードの変更が推奨されています。
チケットマスターのサイバー侵入は、5月25日に欧州のGDPRが施行されて以来、初めての大規模なコンピューターセキュリティ侵害であるため、チケットマスターが侵害通知と適切なセキュリティに関する規制を遵守したかどうかに注目が集まるだろう。®
