Robo de datos en Ticketmaster, parte de algo más grande

Share this…

La violación de datos no fue un evento aislado, como se creía, sino parte de una operación masiva de robo de tarjetas de crédito

Especialistas en borrado seguro de datos afirman que la reciente violación de datosen Ticketmaster era solo la punta del iceberg de una operación más amplia y ambiciosa de robo de tarjetas de crédito.

Se cree que al menos 800 sitios de comercio electrónico se han visto afectados, después de que incluyeron un código desarrollado por terceros y más tarde modificado por hackers, según afirman los expertos en borrado seguro de datos.

Esta campaña de robo de tarjetas de crédito masiva perpetrada por un grupo llamado Magecart (activo desde 2015 al menos) apunta a empresas de software que crean y proporcionan código que los desarrolladores incluyen en sus sitios web para mejorar la experiencia del sitio o del cliente. Después de que los hackers irrumpen y modifican el código, se afecta a todos los sitios web en los que se ejecuta, lo que puede afectar a millones de usuarios al día.

Investigadores de amenazas informáticas y borrado seguro de datos mencionan que la campaña de Magecart tiene un alcance mayor que cualquier otra violación de información para conseguir datos de tarjetas de crédito hasta la fecha, y no pronostican que se detenga en el futuro cercano. Atacando a los proveedores de código, los hackers pueden conseguir casi 10 mil víctimas de manera instantánea.

En el caso de Ticketmaster, la empresa de boletaje admitió que algunos datos de pagos de clientes se encontraban comprometidos porque su sitio web estaba ejecutando código de Inbenta, una compañía de software de atención al cliente que los hackers habían atacado. No es raro que los sitios web dependan del código de un tercero, alojado en otros sitios, para respaldar el suyo. Pero presentan un punto débil que, si se infringe, puede afectar a todos los sitios en los que se carga el código. Inbenta dijo que sólo Ticketmaster se vio afectada, mientras que Ticketmaster dice que no usa ese mismo código en todas sus páginas.

Pero los especialistas en borrado seguro de datos sostienen que la violación a la seguridad de Ticketmaster fue mucho más grande de lo que se pensaba, después de que varios de sus sitios globales ejecutaran código de un tercero que también había sido comprometido por el grupo de hackers.

De acuerdo con nuevos reportes, el código alojado por la compañía de análisis social SociaPlus también había sido violado. Los hackers habrían cambiado el código para robar las tarjetas de crédito ingresadas en el pago de cualquier sitio donde se haya publicado el código.

Según estos reportes, cualquier botón o formulario está comprometido, así que cuando un usuario hace clic en un botón o envía un formulario a los campos de la página, se extrae el nombre y el valor de los campos, los combina y los envía al servidor propiedad de Magecart.

Un vocero de Ticketmaster ya había mencionado que era difícil hacer comentarios sin ver los informes del ataque, y reiteró comentarios anteriores, negando las afirmaciones de los nuevos informes.

Magecart también se enfocó en otras compañías de código de terceros, en las que confían los sitios de comercio electrónico para análisis, soporte de sitios web y entrega de contenido.

Utilizando la plataforma de investigación de amenazas patentada de la compañía, se descubrió que cuatro proveedores de códigos externos habían sido hackeados por Magecart, lo que terminaba con JavaScript comprometido robando la información personal de cualquier usuario en todos los sitios que contenían y cargaban el código.

Especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética recomiendan no confiar demasiado en cualquier plataforma web que requiera información de pago o de tarjetas de crédito, al menos hasta que la filtración de información se detenga.