Peneliti cybersecurity, Jeremiah Fowler, menemukan dan melaporkan kepada VPNMENTOR tentang database yang tidak dilindungi kata sandi yang berisi 520.054 catatan milik platform penjualan kembali tiket acara.
Basis data yang diekspos secara publik tidak dilindungi kata sandi atau dienkripsi. Ini berisi 520.054 catatan dengan ukuran total 200 GB. Nama database menunjukkan bahwa itu berisi file inventaris pelanggan dalam format PDF, JPG, PNG, dan JSON. Dalam contoh terbatas dari dokumen yang terbuka, saya melihat ribuan tiket konser dan acara langsung, bukti transfer tiket, tangkapan layar penerimaan yang diajukan pengguna, dan banyak lagi. Beberapa dokumen ini berisi nomor kartu kredit parsial, nama lengkap, alamat email, dan alamat rumah.
File internal dan nama folder menunjukkan catatan milik Ticket to Cash – platform penjualan kembali tiket online. Saya segera mengirim pemberitahuan pengungkapan yang bertanggung jawab ke Tickettocash.com, tetapi saya tidak menerima balasan, dan database tetap terbuka. Butuh beberapa hari dan pemberitahuan kedua sebelum database akhirnya dibatasi dari akses publik dan tidak lagi dapat diakses. Dalam waktu antara pemberitahuan pengungkapan yang bertanggung jawab pertama dan yang kedua (empat hari kemudian), Jumlah catatan yang terbuka telah tumbuh lebih dari dua ribu file.
Meskipun catatan itu tampaknya termasuk dalam tiket ke uang tunai, tidak diketahui apakah database dimiliki dan dikelola langsung oleh mereka atau oleh kontraktor pihak ketiga. Juga tidak diketahui berapa lama database diekspos sebelum saya menemukannya atau jika ada orang lain yang dapat memperoleh akses ke sana. Hanya audit forensik internal yang dapat mengidentifikasi akses tambahan atau aktivitas yang berpotensi mencurigakan.
Tickettocash.com adalah platform penjualan kembali tiket online yang memungkinkan individu untuk mendaftar dan menjual tiket masuk untuk konser, pertandingan olahraga, dan drama teater. Perusahaan mengklaim menawarkan tiket di jaringan lebih dari 1.000 situs web dijual kembali. Pengguna dapat membuat akun dan mendaftar tiket mereka secara gratis; Setelah tiket dijual, tiket ke tunai dikurangi komisi. Jika tiket tidak dijual, penjual kehilangan nilai penuh tiket.
Menurut ulasan, pembayaran diproses melalui PayPal dan dapat memakan waktu setelah acara berakhir. Menghubungi perusahaan juga sulit dalam pengalaman saya – saya tidak dapat menjangkau siapa pun melalui telepon dan tidak menerima balasan untuk pemberitahuan pengungkapan awal yang bertanggung jawab.
Paparan nama, email, beberapa alamat rumah dan nomor kartu kredit parsial memiliki risiko privasi potensial yang serius Itu tetap lama setelah konser selesai. PII dan rincian keuangan dapat berlaku selama bertahun -tahun, dan kegiatan yang mencurigakan atau curang mungkin tidak terjadi segera setelah informasi itu jatuh di tangan yang salah. Di era di mana membeli tiket online cepat dan nyaman, itu juga telah menyederhanakan cara penipuan tiket dan penipuan beroperasi.
Menurut laporan 2023 oleh LendingTree tentang biaya tiket yang tinggi, 11% dari mereka yang disurvei yang membeli tiket dari pasar sekunder atau situs yang dipertanyakan ditipu. Di Inggris, The Guardian melaporkan bahwa penipuan tiket meningkatkan 529% dari tahun lalu, biaya korban rata -rata £ 110 ($ 145 USD). Saya tidak mengatakan atau menyiratkan bahwa tiket ke uang tunai terlibat dalam jenis kegiatan ini dan hanya menghadirkan skenario risiko di mana tiket bocor berpotensi digunakan untuk penipuan pembeli tiket.
Ketika acara musik live melonjak dalam popularitas setelah pandemi, para penjahat juga telah mengambil kesempatan untuk menipu penggemar yang sangat ingin melihat aksi musik terbaik, olahraga, festival, dan acara publik lainnya. Dengan harga tiket mencapai tinggi baru, penipuan tiket menguntungkan. Harga rata -rata tiket konser pada tahun 2024 diperkirakan $ 135 USD, tetapi banyak dokumen yang saya lihat dalam database berada di ribuan dolar. Mengetahui PII orang -orang yang membeli tiket mahal berpotensi menjadikannya target bernilai tinggi bagi para penjahat.
Paparan data apa pun yang berisi informasi yang dapat diidentifikasi secara pribadi (PII) berpotensi digunakan untuk berbagai kegiatan jahat. Pencurian identitas adalah kekhawatiran terbesar dalam kasus -kasus di mana informasi yang lebih sensitif (seperti SSN, DOB, dll.) Diperkirakan. Dengan hanya nama, email atau alamat fisik, dan data keuangan parsial yang diekspos, scammers dapat berusaha untuk menyatukan profil korban mereka yang lebih lengkap dan mengejar strategi eksploitasi jangka panjang.
Phishing dan rekayasa sosial jauh lebih mudah ketika para penjahat memiliki pengetahuan orang dalam tentang korban itu bukan publik. Dalam hal ini, mengetahui alamat email, memiliki catatan pembelian-pembelian, dan meninjau tiket dengan lokasi dan tanggal dapat memberikan konteks yang cukup bagi penyerang untuk mengirim email phishing yang meyakinkan atau pesan SMS. Sebagian besar penyedia tiket memiliki platform internal mereka sendiri di mana pelanggan dapat membuat akun dan mengelola, menjual, atau mentransfer tiket mereka. Jika penjahat menggunakan phishing atau rekayasa sosial untuk mendapatkan kredensial akses ke akun pengguna, mereka dapat mengambil alih akun di platform penyedia tiket. Pengambilalihan akun menjadi perhatian serius jika penyedia tiket memiliki protokol keamanan yang lemah dan memungkinkan akses yang tidak sah ke perincian akun, tiket, atau informasi pribadi lainnya.
Berikut adalah contoh bagaimana hal ini bisa terjadi: Penjahat dunia maya dapat mencoba melakukan serangan yang ditargetkan pada orang -orang tertentu yang menggunakan alamat email yang diketahui terkait dengan pembelian tiket konser. Cara terbaik untuk melakukan ini adalah dengan menargetkan email itu sendiri dan mendapatkan akses yang tidak sah ke akun. Ini dapat dilakukan dalam berbagai cara, seperti phishing, isian kredensial, atau mengeksploitasi kata sandi yang lemah atau dikompromikan sebelumnya.
Setelah penjahat mendapatkan akses ke akun email, mereka dapat mencegat komunikasi terkait tiket. Mereka juga dapat memulai reset kata sandi pada platform tiket, yang akan mengirim tautan reset ke email yang dikompromikan. Jika berhasil, para penyerang berpotensi masuk ke akun tiket, mengunduh tiket digital, atau mentransfernya ke pihak ketiga untuk dijual kembali. Ini akan membuat pemegang tiket asli terkunci dan berpotensi tidak dapat menghadiri acara tersebut.
Ketika meninjau sampel dokumen yang terbuka, saya pribadi melihat tiket untuk beberapa ribu dolar yang berlaku hingga 6-7 bulan di masa depan. Ini dapat secara hipotetis memberikan insentif keuangan dan waktu yang cukup untuk serangan canggih pada akun, pemalsuan, atau aktivitas penipuan lainnya.
Saya tidak mengatakan bahwa tiket ke pelanggan Cash saat ini berisiko serangan jenis ini. Saya hanya memberikan skenario hipotetis tentang bagaimana para penjahat berpotensi mencoba mencuri tiket menggunakan informasi terbatas, seperti email dan pengetahuan tentang konser dan platform tiket di mana mereka awalnya dibeli.
Saya akan merekomendasikan bahwa orang -orang yang percaya mereka mungkin terpengaruh oleh pelanggaran data yang waspada:
- Pantau akun keuangan terkait untuk mengidentifikasi aktivitas yang tidak biasa atau mencurigakan. Ini juga merupakan ide yang baik untuk secara berkala memeriksa laporan kredit untuk melihat apakah ada akun yang telah dibuka atas nama Anda.
- Perbarui semua kata sandi untuk akun online yang mungkin telah dikompromikan. Jika memungkinkan, gunakan otentikasi multi-faktor (MFA) pada akun yang memiliki informasi pribadi atau sensitif. Ini dapat menambah lapisan keamanan tambahan dan mencegah akses yang tidak sah dalam kasus di mana kata sandi telah dikompromikan.
- Berhati -hatilah dengan upaya phishingterutama email atau pesan yang merujuk pada pembelian tiket terbaru atau masalah pembayaran. Verifikasi pesan aneh menggunakan saluran komunikasi resmi. Laporkan aktivitas mencurigakan ke bank Anda, penyedia kartu kredit, dan penyedia layanan jika ada sesuatu yang tampaknya tidak benar atau Anda curiga penipuan.
Tidak diketahui siapa yang memiliki tiket ke uang tunai, karena informasinya tidak tersedia online dan saya tidak menerima tanggapan atas pertanyaan saya melalui email. Meskipun komunikasi yang buruk, perusahaan tampaknya memindahkan sejumlah besar tiket. Jadi, saya tidak mempertanyakan legitimasi layanan mereka.
Karena itu, saya pribadi percaya bahwa ketika perusahaan mewajibkan pelanggan untuk memberikan informasi pribadi atau keuangan mereka, harus ada beberapa tingkat transparansi – terutama ketika produk atau layanan yang disediakan dapat dikenakan biaya ribuan dolar. Sebagian besar perusahaan akan menentukan detail penting Seperti di mana bisnis berada, pendaftaran hukum, kepemimpinan utama, dll. Sebagai aturan umum, saya akan waspada terhadap situs web anonim yang hanya menawarkan email dan nomor telepon.
Penjahat dunia maya selalu meningkatkan metode mereka dan menemukan cara baru untuk menipu pembeli tiket dari uang mereka dan kesempatan mereka untuk menghadiri acara -acara penting. Saya akan merekomendasikan menggunakan sumber tiket resmi jika memungkinkan dan bersikap skeptis terhadap penawaran murah yang luar biasa yang tampaknya terlalu bagus untuk menjadi kenyataan. Dalam transaksi apa pun, Perhatian dan penelitian dapat membantu menghindari scammed.
Saya tidak menyiratkan kesalahan dengan tiket ke uang tunai, atau karyawannya, agen, kontraktor, afiliasi, dan/atau entitas terkait. Saya tidak mengklaim bahwa data internal, pelanggan, atau pengguna apa pun yang berisiko segera. Skenario risiko data hipotetis yang telah saya sajikan dalam laporan ini secara ketat dan eksklusif untuk tujuan pendidikan dan tidak mencerminkan, menyarankan, atau menyiratkan kompromi aktual integritas data. Seharusnya tidak ditafsirkan sebagai cerminan atau komentar tentang praktik, sistem, atau langkah -langkah keamanan spesifik organisasi mana pun.
Sebagai peneliti keamanan etis, saya tidak mengunduh data yang saya temukan. Saya hanya mengambil sejumlah tangkapan layar yang diperlukan dan semata -mata untuk tujuan verifikasi dan dokumentasi. Saya tidak melakukan kegiatan apa pun di luar mengidentifikasi kerentanan keamanan dan memberi tahu pihak -pihak yang relevan. Saya menyangkal setiap dan semua tanggung jawab atas setiap dan semua tindakan yang dapat diambil sebagai hasil dari pengungkapan ini. Saya mempublikasikan temuan saya untuk meningkatkan kesadaran akan masalah keamanan dan privasi data. Tujuan saya adalah untuk mendorong organisasi untuk secara proaktif menerapkan langkah -langkah untuk melindungi informasi sensitif terhadap akses yang tidak sah.