Принадлежащий компании Eventbrite сервис по продаже концертных билетов Ticketfly уже неделю пытается восстановить работу после кибератаки. Злоумышленнику удалось получить права администратора, после чего он подменил главную страницу ресурса и украл личные данные более 26 млн пользователей.

Сайт перестал функционировать 31 мая, когда неизвестный, называющий себя IsHaKdZ, разместил на главной странице сайта изображение героя фильма “V значит вендетта” и оставил под ним сообщение: “Your Security Down im Not Sorry. Next time I will publish database ‘backstage.'” (“Ваша защита отключена, и я не буду извиняться. В следующий раз выложу базу данных ˮbackstageˮ”).

Часть украденной информации о клиентах злоумышленник выложил на общедоступный сервер. Эти данные проанализировал специалист по безопасности и основатель сервиса Have I Been Pwned Трой Хант (Troy Hunt). Он обнаружил более 26 млн адресов электронной почты, а также имена клиентов, их физические адреса и номера телефонов. Паролей и номеров кредитных карт пользователей в базах не было.

Пока неясно, действовал ли преступник один или в группе. Как сообщает издание Motherboard, обнаружив на сайте уязвимость, злоумышленник связался с Ticketfly, предупредил компанию о наличии бреши и потребовал за устранение недостатка плату в 1 биткоин (около 7500 долларов по курсу на конец мая). Не получив ответа на свои электронные письма, IsHaKdZ скомпрометировал сайт.

Побеседовать со взломщиком удалось и изданию Mashable, в редакцию которого тот прислал ссылку на каталог, содержащий тысячи CSV-файлов с информацией не только о клиентах, но и о сотрудниках Ticketfly.

Представители сервиса отказались подтвердить информацию о требовании выкупа. На данный момент на странице техподдержки сказано, что специалисты начали восстанавливать работу билетных касс, электронной рассылки и системы отчетности. Кроме того, в дальнейшем сайт перестанет базироваться на WordPress. Вероятно, уязвимость, которой воспользовался IsHaKdZ, была связана с этой платформой. Компания пока не может предоставить более точные сведения.

“Каждый случай уникален, и анализ обычно занимает больше времени, чем хотелось бы, потому что не всегда можно быстро восстановить полную картину произошедшего”, — пояснили представители Ticketfly.

О наличии серьезных уязвимостей в 11 плагинах для WordPress от компании Multidots на днях сообщили исследователи ThreatPress. Эти бреши могут привести к утечке персональных данных со скомпрометированных ресурсов.

Однако проблемы с безопасностью у WordPress возникают не только из-за сторонних разработчиков, но и из-за багов в самой платформе. Так, в феврале этого года была обнаружена брешь, позволяющая проводить DDoS-атаки, а в мае — бэкдор, который внедряет вредоносный код и перенаправляет посетителей сайта на страницу злоумышленников.

Категории: Мошенничество, Уязвимости, Хакеры