U sofisticiranoj operaciji sajber kriminala usmjerenoj na događaje velike potražnje, dvije osobe su uhapšene ove sedmice zbog navodnog orkestriranja šeme krađe karata u vrijednosti od 600.000 dolara, uključujući Eras Tour Taylor Swift i druge velike koncerte.
Okružni tužilac Queensa Melinda Katz otkrila je da su Tyrone Rose, 34, i Shamara P. Simmons, 29, iskoristili sigurnosne propuste u sistemima offshore treće strane prodavača karata kako bi presreli i preprodali preko 900 digitalnih karata preko StubHub-a.
Operacija, koja je trajala skoro godinu dana, koristila je otmicu URL sesije i automatizovane skripte za punjenje kredencijalima kako bi se zaobišla zaštita dobavljača, što je označilo jedan od tehnički najsloženijih slučajeva prevare tiketa u posljednje vrijeme.
Kako navodi Deadline, hakeri su navodno ciljali na izvođača sa Jamajke koji je odgovoran za upravljanje prenosom karata za StubHub.
Tehnička eksploatacija sistema dobavljača
Forenzički analitičari su utvrdili da su optuženi koristili alate za scraping bazirane na Python-u kako bi iskoristili nesigurne API krajnje tačke unutar platforme dobavljača.
Jedna skripta je koristila biblioteku zahtjeva za sistematsko prikupljanje važećih URL-ova ulaznica.
Skripta je navodno izvukla direktne URL adrese ulaznica lažno predstavljajući ovlaštene korisnike putem kompromitovanih OAuth tokena.
Nedostatak ograničenja IP stope i višefaktorske autentifikacije (MFA) kod offshore dobavljača omogućio je hakerima da grubo preuzmu akreditive zaposlenika.
Kada su ušli, postavili su korisne podatke za SQL injekciju kako bi izvukli zapise o transakcijama korisnika. Ovi podaci su omogućili ciljane napade na karte visoke vrijednosti, s cijenama preprodaje u prosjeku 300% iznad nominalne vrijednosti za Eras Tour mjesta.
Jedinica tužitelja za sajber kriminal pronašla je 612.000 dolara nezakonite dobiti preko novčanika kriptovaluta povezanih s Roseinim Coinbase računom.
Rose i Simmons se suočavaju sa 15 tačaka krivičnih dela, uključujući prvostepenu povredu računara (Njujorški krivični zakon § 156.10) i veliku krađu putem neovlaštenog pristupa (§ 155.30).
Tužioci su naglasili da optuženi koriste offshore proxy servere i šifrovane Telegram kanale kako bi prikrili svoje aktivnosti. StubHub je od tada naložio provjeru JWT tokena i implementaciju reCAPTCHA v3 za integracije trećih strana.
Biro za ekonomske zločine državnog tužioca Queensa sarađuje s INTERPOL-om na identifikaciji dodatnih zavjerenika na Jamajci. Od 917 ukradenih karata, 68% je bilo vezano za Eras Tour datume na MetLife stadionu i SoFi Areni.
Pogođeni navijači mogu podnijeti zahtjeve prema njujorškom Zakonu o obnavljanju žrtava sajber kriminala, iako pravni stručnjaci upozoravaju da bi nadoknada mogla potrajati 18 do 24 mjeseca.
Kako se Swiftova turneja nastavlja do 2025. godine, lideri industrije ohrabruju fanove da kupuju koristeći provjerene platforme koje koriste DMARC certificiranu provjeru e-pošte i NFT tikete zasnovane na blockchain-u .
Ovaj slučaj naglašava rastući sukob između sajber kriminalaca i profesionalaca za sajber sigurnost događaja uživo u koncertnoj industriji nakon pandemije.
Izvor: CyberSecurityNews
