גניבת פרטי אשראי מאתר מכירת הכרטיסים EuroTickets2020

אתר מכירת הכרטיסים EuroTickets2020 נפגע במתקפת סייבר ולקוחותיו נחשפו לסכנת גניבה של הנתונים האישיים ופרטי האשראי שלהם במשך יותר מחודש.

האתר, המוכר כרטיסים לEuro Cup ולמשחקים האולימפיים בטוקיו (שניים מאירועי הספורט הגדולים בעולם אשר צפויים להתקיים בשנה הקרובה), נפרץ ע"י האקרים שהחדירו לתוכו JavaScript וגנבו נתונים ופרטי אשראי של רוכשי כרטיסים באתר.

הקוד הזדוני התגלה לראשונה ב OlympicTickets2020.com (שהינו אתר משני של החברה), ע"י ג'ייקוב פימנטל ומקס קרסטן, שני חוקרים חיצוניים לאבטחת מידע. הקוד "הסתתר" באחת מספריות התוכנה שבשימוש החברה והופעל ברגע שלקוח נכנס לפורטל הפנימי יחד עם טעינת העמוד. לאחר מכן, כל שימוש באחת ממילות המפתח הנפוצות בהליך הרכישה כגון: onepage, checkout, store, cart, pay, order, basket, billing, order, אפשר את גניבת הנתונים הלכה למעשה.

מתקפות MageCart

ע"פ רוב, קוד הגונב פרטי אשראי מחנויות און-ליין ידוע בשם MageCart בשל היותו נפוץ באתרים הרצים על פלטפורמת Magento e-commerce.

MageCart הינו קוד הנמצא בשימוש רווח בקרב גנבי נתונים ופרטי אשראי באתרי רכישות מקוונות ונקרא כך בשל היותו נפוץ ע"פ רוב, באתרים הרצים על פלטפורמת Magento e-commerce.

מתקפות MageCart פועלות בדפוס קבוע ומתוך מטרה למקסם רווחים בכל דרך אפשרית ולכן, ע"פ רוב, לא פוגעות באתרים בודדים. כצעד ראשון הן פורצות לתשתית או לשרת של האתר ומחדירות לשם את הקוד הזדוני, או שהן חודרות אליו באמצעות גורם שלישי הקשור לאתר כגון עובד או אתר מכירות משני, אותו זיהו כמטרה נוחה וקלה יותר. בשני המקרים יגיע הקוד בסופו של תהליך לעמוד הרכישה של האתר.

מרגע שחדרה הנוזקה לתוך האתר היא יכולה בקלות לאסוף את נתוני התשלום ולשלוח את המידע הזה אל התוקף באמצעות הדפדפן של הלקוח לכל מקום שירצו.

תהליך החשיפה וטיפול רשלני

החוקרים גילו כי EuroTickets2020 ו- OlympicTickets2020 שני האתרים שנפגעו - נמצאים תחת בעלות אחת וכי הנוזקה פועלת באתר Olympic מתחילת דצמבר 2019 וביורו מינואר 2010 ולמעשה היא "שרדה" באתר אחד במשך כ- 50 ימים ובאחר כשבועיים ללא הפרעה.

מייד כשגילו את הפריצה פנו השניים לחברה המחזיקה באתרים כדי לעדכן ולחלוק איתם את הממצאים, אך למרות פניות חוזרות ונשנות באמצעות מייל, טוויטר ועוד, לא קיבלו כל תגובה מהחברה. לאחר פניה נוספת באמצעות צ'ט באתר, התקבלה תשובה מצוות האבטחה של החברה כי לא נמצאו כל ממצאים חריגים והתיק נסגר. במאמץ עיקש נוסף, פנו השניים שוב לחברה, עם הנחיות מדויקות יותר, וביקשו לערוך חיפוש נוסף בספריות. למרות ששוב קיבלו תשובה כי לא זוהתה פעילות חריגה, זמן קצר לאחר מכן, הוסרה הנוזקה.

אתרי מכירה מקוונים הינם הקורבנות הנחשקים ביותר למתקפות סייבר וגניבת אמצעי תשלום. לקוחות הרוכשים באתרים אלו נמצאים בסיכון גבוה ביותר. הכישלון של החברה בגילוי הפריצה ויתר על כן, ההתעלמות של גורמי האבטחה מהאזהרות הברורות שהתקבלו, מלמדים על מערך אבטחה לקוי, אי עמידה בדרישות להגנה מסייבר וכתוצאה מכך, בחשיפה גבוהה של הלקוחות לסכנה. הליך רכישה לא מאובטח מסכן את המשך קיומה של החברה שמלבד הפסדים ישירים וחשיפה גבוהה לתביעות מלקוחות שנפגעו, תאלץ להתמודד עם רשלנותה, גם מול גורמי האכיפה והרגולציה.
.
במקרים שכאלה, מומלץ לכל מי שעשה שימוש באתרים הללו ועלול היה להיפגע, לעדכן את הגופים הפיננסים הרלוונטיים ולהחליף את הכרטיס שנחשף בכרטיס חדש. כמו כן, מומלץ לקיים מעקב אחר החשבונות לאיתור פעילות אנומאלית שעלולה להצביע על חדירה לחשבונם הפרטי.

מידי חודש נפגעים אלפי אתרים בתקיפות מסוג זה. מנסיון של מומחי סייבר, הכשרת עובדים נכונה ויצירת מודעות פנימית לאיומי סייבר יכולה היתה לעצור את המתקפה בשלבים המוקדמים שלה ולמנוע מצב בו נגנבים פרטי לקוחות במשך יותר מחודש ללא מפריע