TicketMaster, un drama en tres actos (y un epílogo)

El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbots y que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.

La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas. 

ACTO II: En el que Inbenta responde a las acusaciones

Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un fichero JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.

Acusan directamente a TicketMaster de haber integrado el fichero en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este fichero en su infraestructura. 

Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontend de Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de ficheros a la plataforma para sustituir el fichero por uno con el código malicioso.

ACTO III: En el que descubrimos que Monzo ya había avisado

Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva. 

Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.

Epílogo: Tirando del hilo

Después de las reveladoras palabras del CEO de Inbenta para ZDNet, en Hispasec nos preguntamos si era posible localizar ese JavaScript y analizar su contenido para poder localizar el actor malicioso. Primero, necesitábamos saber datos concretos de dónde alojaba Inbenta los ficheros referenciados por TicketMaster. Un paseo por Wayback Machine nos da alguna pista: Inbenta usa una serie de URLs que apuntan a servidores Amazon desde donde sirve ficheros estáticos exclusivamente para cada una de las divisiones locales de TicketMaster. Este primer fichero:

http://ticketmasteruk.inbenta.com/avatar/jsonp/inbenta.js

Nos lleva a un segundo: 
http://ticketmasteruk.inbenta.com/avatar/assets/js/inbenta.js?1528204241

Sabiendo al menos el nombre de fichero y URL, podemos empezar a buscar muestras en servicios como VirusTotal o HybridAnalysis. 

Echando un vistazo a esta versión de ‘inbenta.js’, encontramos al final una gran cantidad de código ofuscado:

Sospechoso cuanto menos, ¿no? La función ‘send‘ y las continuas referencias al array ‘_0x1aec‘ nos hacen sospechar que contiene la información de contacto. Lo decodificamos y….