• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Auditoría / TicketMaster, un drama en tres actos (y un epílogo)

TicketMaster, un drama en tres actos (y un epílogo)

30 junio, 2018 Por Hispasec 1 comentario

ACTO I: En el que TicketMaster alerta del ataque

El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbots y que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.


La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas. 

ACTO II: En el que Inbenta responde a las acusaciones

Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un fichero JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.

Acusan directamente a TicketMaster de haber integrado el fichero en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este fichero en su infraestructura. 

Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontend de Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de ficheros a la plataforma para sustituir el fichero por uno con el código malicioso.

ACTO III: En el que descubrimos que Monzo ya había avisado

Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva. 



Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.

Epílogo: Tirando del hilo

Después de las reveladoras palabras del CEO de Inbenta para ZDNet, en Hispasec nos preguntamos si era posible localizar ese JavaScript y analizar su contenido para poder localizar el actor malicioso. Primero, necesitábamos saber datos concretos de dónde alojaba Inbenta los ficheros referenciados por TicketMaster. Un paseo por Wayback Machine nos da alguna pista: Inbenta usa una serie de URLs que apuntan a servidores Amazon desde donde sirve ficheros estáticos exclusivamente para cada una de las divisiones locales de TicketMaster. Este primer fichero:

http://ticketmasteruk.inbenta.com/avatar/jsonp/inbenta.js

Nos lleva a un segundo: 
http://ticketmasteruk.inbenta.com/avatar/assets/js/inbenta.js?1528204241


Sabiendo al menos el nombre de fichero y URL, podemos empezar a buscar muestras en servicios como VirusTotal o HybridAnalysis. 



https://www.hybrid-analysis.com/search?query=inbenta

Este fichero también fue subido a VirusTotal en la misma fecha, detectado como InfoStealer:


https://www.virustotal.com/#/file/eb49f05d0738b851ec25ede8592c021c3421588154c2e90af542f69ee3ed0530/detection

Echando un vistazo a esta versión de ‘inbenta.js’, encontramos al final una gran cantidad de código ofuscado:

Sospechoso cuanto menos, ¿no? La función ‘send‘ y las continuas referencias al array ‘_0x1aec‘ nos hacen sospechar que contiene la información de contacto. Lo decodificamos y….



El punto de contacto es el dominio «webfotce.me», que resuelve a la IP 85.93.5.188, situada en Emiratos Árabes Unidos. Esta IP está relacionada no sólo con este caso, sino también con gran cantidad de malware según VirusTotal.

Buscando información sobre el dominio, vemos que el usuario @AskewDread a través de Twitter ya avisaba de este comportamiento, siendo, según TicketMaster Nueva Zelanda, solucionado el 11 de mayo.

@Ticketmaster_NZ pic.twitter.com/MYFZy88SUc

— Shane Langley (@AskewDread) 7 de mayo de 2018

https://platform.twitter.com/widgets.js En un análisis preliminar, vemos que el código recoge información de la página en caso de encontrar ciertas cadenas en la misma, y hace peticiones POST a la URL mencionada con los datos capturados.

Ataques como estos son ejemplos claros del alcance que pueden llegar a tener los fallos de seguridad en proveedores u otras dependencias de código. Aunque Inbenta ha sido la empresa atacada, es TicketMaster el más afectado tanto en imagen como económicamente. Incluso los efectos colaterales han llegado a Monzo, un tercero sin relación directa de negocio con ninguno de ellos.

Es importante recordar que la seguridad de nuestra infraestructura es tan débil como el componente más inseguro de la misma y que, por tanto, todos necesitan ser revisados para garantizar un producto seguro a nuestros usuarios y evitar que un problema de terceros nos afecte directamente.


Francisco López
flopez@hispasec.com
@zisk0

Agradecimientos a Carlos Ledesma (@Ravenons) por el apoyo técnico.


Más información:

INFORMATION ABOUT DATA SECURITY INCIDENT BY THIRD-PARTY SUPPLIER:
https://security.ticketmaster.co.uk/







Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Auditoría

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR