Ticketmaster UK, britischer Ableger der amerikanischen Ticketmaster Entertainment Inc., wurde Opfer eines raffinierten Hackerangriffs. Am 28. Juni dieses Jahres wurde die Öffentlichkeit entsprechend darüber informiert. Die Cybersicherheitsfirma RiskIQ untersuchte den Sicherheitsvorfall und staunte nicht schlecht über dessen wahre Ausmaße. Zunächst hieß es seitens Ticketmaster, dass nur die britische Webseite betroffen wäre. Dann hieß es 5 % aller Kunden weltweit wären betroffen. Das Unternehmen vervollständigte die betroffenen Unternehmensableger etwas später: Irland, Neuseeland und die Türkei sowie auch Ticketmaster Deutschland, Australien und Ticketmaster International.
Die Hacker waren zwar generell auf Zahlungsinformationen aus, die in Formularen auf den verschiedenen Websites von Ticketmaster eingegeben worden waren. Aber diese Infos haben sie eigentlich über eingebaute Drittanbietersoftware erhalten. Software, die übrigens auch viele der beliebtesten E-Commerce-Webseiten weltweit nutzen. Dennoch wird der Vorfall zunächst bei Ticketmaster als Datenschutzpanne verbucht. Von dort wurden persönliche Informationen wie Name, Adresse, E-Mail-Anschrift, Telefonnummer, Zahlungsdetails und auch Log-in-Daten zu Kundenkonten im großen Stil gestohlen. RiskIQ geht indessen davon aus, dass weltweit etwa 800 E-Commerce Webseiten betroffen sind, deren Drittanbietersoftware ebenfalls kompromittiert wurde.
Hinter dem Angriff steckt die Hackertruppe Magecart. Sie installierte digitale Karten-Skimming-Software auf Komponenten und Diensten von Drittanbietern. Und sie pickte sich, wie schon erwähnt, die meistverwendete Drittanbietersoftware heraus: Inbenta, SociaPlus, PushAssist, Annex Cloud, Clarity Connect CMS und einige andere. Magecart, so sagt RiskIQ, hat in seinem Angriff „Serverside“ mindestens 100 der wichtigsten E-Commerce-Webseiten kompromittiert. Kaum vorstellbar, wie viele Kreditkartendaten dabei betroffen sind.
Bei Ticketmaster installierte Magecart seine Malware zum Auslesen von Karteninformationen in der Inbenta Software – ein einfaches Chat Widget. Erfasst werden konnten so Zahlungsdaten in den Ticketmaster Onlineformularen, die anschließend über einen Command-and-Control-Server weitergeleitet wurden. RiskIQ konnte auch feststellen, dass dieser Server bei Ticketmaster schon seit etwa Ende 2016 einsatzbereit gewesen war. Inbenta selbst fand heraus, dass die Hacker lediglich einen kleinen JavaScript-Code in die Software für Ticketmaster eingefügt hätten. Bei der SociaPlus Software ging Magecart gleichermaßen vor. Die kompromittierte Inbenta-Software wurde durch Ticketmaster sofort auf allen seinen Webseiten deaktiviert.
Wie Magecart die Angriffe genau durchgezogen hat, ist bis jetzt noch nicht bekannt. Viele Experten gehen davon aus, dass es weitere große Angriffe geben wird. Manche könnten bereits am Laufen sein. Es sei nur eine Frage, wann sie aufgedeckt werden, heißt es. In Echtzeit ließe sich das allerdings nicht feststellen sagen die Experten. Chris Olson, CEO von The Media Trust rät:
„Unternehmen können die Sicherheitslücken am besten in den Griff kriegen, wenn sie ihre Drittanbieter kennen, eng mit ihnen zusammenarbeiten bei der Verbesserung der Sicherheitseinstellungen und ihre Webseiten regelmäßig nach verdächtigem oder bösartigem Code oder Auffälligkeiten scannen.“
Auch eine Risikobewertung vor einer Zusammenarbeit durchzuführen mit anschließenden regelmäßigen Audits und Pentests, sei unbedingt ratsam, so Olson.
Allerdings ist der Ticketmaster-Fall noch Kleinkram im Vergleich zu dem Vorfall bei der Konkurrenz. Der Ticketanbieter Ticketfly wurde bereits Ende Mai Opfer eines Hackerangriffs. Die Ticketfly Webseiten mussten daraufhin komplett vom Netz genommen werden. Hacker hatten 27 Millionen Kundenkonten gestohlen, zum Glück waren keine Kreditkarteninformationen darunter, hieß es. Wer hinter dem Angriff steckt, wurde noch nicht bekannt gegeben.
In Europa gilt seit Ende Mai die Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen sie sicherstellen, dass alle an ihrem Produkt beteiligte Dritte diese Gesetze einhalten. Das ist vermutlich eine nicht ganz so einfache Aufgabe, muss aber vorrangig angegangen werden.
Und es gibt seit einigen Jahren schon gute Ansätze hier zu helfen in Form von sogenannten Bug-Bounty-Programmen. Solche Programme basieren auf einer Vereinbarung zwischen Webseiten- und Softwareentwicklern und sogenannten White Hat oder ethnischen Hackern und IT-Sicherheitsforschern. Die Guten unter den Hackern erhalten für das Auffinden von Sicherheitsschwachstellen Anerkennung und Entschädigung und auch Schutz. Dadurch werden Fehler entdeckt und entsprechend behoben, bevor die breite Öffentlichkeit davon erfährt. Gleichzeitig werden so der Missbrauch von Sicherheitslücken und Datenpannen vermieden.
Bug-Bounty-Programme gibt es mittlerweile bei vielen großen Unternehmen. Zu den größten Initiatoren gehören Microsoft, Facebook, Mozilla, Google und Yahoo! HackerOne ist eine der größten Bug-Bounty-Plattformen für IT-Sicherheit. Crowdsourcing Plattformen werden unter White Hat Hackern inzwischen immer populärer. Marten Mickos, Geschäftsführer bei HackerOne erklärte in einem Interview, dass diese Programme sich nun sogar auf Unternehmen außerhalb der IT-Industrie ausweiten. Dazu gehören, staatliche Behörden, Banken und Handels- oder Herstellungsunternehmen.
Insbesondere das amerikanische “Hack-das-Pentagon-Programm“ aus 2016 hätte, so Mickos, den Markt grundlegend verändert. Inzwischen haben die amerikanische Luftwaffe, die Armee und viele andere Stellen nachgezogen. Diese Programme sind wichtig, vor allem, da die Gesetzgebung noch nicht bereit ist für White Hat Hacker – es kann sie nicht von schlechten Hackern unterscheiden. Was sie tun, ist ja prinzipiell (US-Recht) illegal. Die Programme aber legitimieren diese Hacks entsprechend. Wenn sich Hacker an die Regeln halten, werden sie dafür beschützt und belohnt. Und genau das macht es interessant für alle Beteiligten.
Laut Mickos haben die Bounty Programme noch andere Vorteile. Weltweit bestünde ein unglaublich großer Mangel an geschultem IT-Sicherheitspersonal. Und dennoch würden sich schnell 200.000 ethnische Hacker bei so einem Programm anmelden. Viele helfen hier auf freiberuflicher Ebene neben ihrem Job. Der Anreiz ist der Schlüssel hier – der Erste, der was findet, wird dafür belohnt. Der Wettbewerbsdruck führt zum Erfolg. Das Problem beginne allerdings schon im IT-Studium, klagt Mickos: IT-Sicherheit sei oft nicht Teil des Studiums. In anderen Branchen wäre das undenkbar. Beispiel Luftfahrtindustrie – ohne grundlegendes Wissen über die Risiken und die Sicherheit geht dort gar nichts. Daher sollte jeder der Software programmiert, von vornherein auch wissen, wie man sie programmiert, damit sie sicher ist.
Und Einsatzmöglichkeiten für IT-Sicherheitsforscher gibt es viele. Obwohl der größte Teil sich auf Webseiten konzentriert, verteilen sich die Bedrohungen recht breit auf mobile Apps, APIs, IoT-Geräte, CPU-Infrastrukturen, Software usw. Arbeit für White Hat Hacker gibt’s also noch und nöcher. Auch die Hersteller, die Geräte für das Internet der Dinge herstellen, erkennen nun endlich die Wichtigkeit solcher Bounty Programme. Mickos sieht einen neuen Trend, der Hoffnung macht für eine sicherere IT-Zukunft. Hersteller fordern immer öfters von Softwareherstellern, dass sie nachweisen, dass sie ein ordentliches Bug-Bounty-Programm haben. Nur so könnten sie vertrauen, dass ihre Produkte sicher bleiben. Und das ist gut so, denn schließlich werden sie zur Verantwortung gezogen, wenn das nicht der Fall ist.
Mickos empfiehlt jedem großen Unternehmen solche Bug-Bounty-Programme aufzustellen, damit die guten Jungs die Sicherheitslücken vor den bösen Jungs finden. Wichtig sei dabei aber, dass es Leute im Unternehmen gibt, die diese Lücken auch schnell reparieren können. Sonst nützt das Ganze nicht viel. Interessant ist, das Marten Mickos mehr denn je darauf vertraut, dass die Cyberrisiken in Zukunft abnehmen werden.
Artikel von 11.07.2018: Ticketmaster Breach: Just One Part of a Wide-Ranging Campaign
Artikel von scmagazine.com, 11.07.2018: Third-party Ticketmaster breach targeted 800-plus e-commerce sites
Artikel von darkreading.com, 11.07.2018: Ticketmaster Breach Part of Massive Payment Card Hacking Campaign
Artikel von eweek.com, 28.06.2018: Ticketmaster Breach Exposes Supply Chain Risks
Artikel von threatpost.com, 02.07.2018: Newsmaker Interview: Marten Mickos on the Future of Bug Bounty
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0