Hackers maken geha(c)kt van beveiliging softwareleveranciers

Met een bestand van meer dan tweehonderd miljoen klanten bezorgt Ticketmaster massa’s mensen een heerlijk avondje muziek. De negatieve berichten van de laatste maanden klinken de kaartjesverkoper zelf niet bepaald als muziek in de oren. Zo werd op de site een paar minuten abusievelijk een concert van One Direction aangekondigd en heeft men onder forse druk Seatwave uit de lucht gehaald dat, vaak peperdure, secundaire tickets verkocht. De recente hack via softwareleveranciers van Ticketmaster kwam daar nog eens bij.

Het ‘disaster’ van Ticketmaster

Dat we uitgerekend deze hack bij u willen ‘aankaarten’ heeft uiteraard een reden. Van fouten valt immers te leren, ook als die door een ander zijn gemaakt. Even als opfrisser: de aanval op klanten van Ticketmaster was onderdeel van een grotere campagne die honderden webwinkels wereldwijd trof, waaronder sites van grote merken. Volgens onderzoekers komt de aanval neer op digitaal skimmen. Bij skimmen kopieert een aanvaller de pinpas als een klant hem in een pinautomaat steekt, bijvoorbeeld door een opzetstuk op een pinautomaat te monteren. De aanvallers, naar verluid de Magecart-groep, deden iets vergelijkbaars, maar dan met programmeercode op de Ticketmaster-sites.

Niet achteraf

Door toeleveranciers te kraken, in dit geval op gebied van klantondersteuning, kregen de aanvallers een kopie van de betaalgegevens die gebruikers invulden op de Ticketmaster-websites. Feitelijk wordt hier dus niet direct bij Ticketmaster gehackt maar via software van een of meerdere softwareleveranciers. En ja, ook Vigour levert softwarediensten dus hoe zit het daar dan mee? We kunnen u geruststellen want we weten als geen ander dat softwarebeveiliging iets is dat we direct moeten meenemen in de ontwerp- en bouwfase en niet achteraf, zoals nog vaak gebeurt. Repareren kan u namelijk duur komen te staan, onder meer door reputatieschade. Zeker als de handhavers van de AVG er lucht van krijgen.

Security Resource Planning?

Vergelijk het met een terugroepactie van een autofabrikant. Zo’n operatie kost een veelvoud van de kosten om alles in één keer goed te doen. Tijdens het ontwikkelproces laten wij daarom CVA (Code Vulnerability Analysis) op de door ons gebruikte ABAP-code los. Deze tool scant alle code en detecteert eventuele zwakke plekken. Voor andere programmeercodes hebben we vergelijkbare oplossingen in huis. Dat brengt ons meteen bij een andere kwetsbaarheid waar wij minder vat op hebben: het toenemende gebruik van de cloud. Want hoe meer elementen aan uw ICT-omgeving worden toegevoegd, hoe meer kans dat ergens zo’n onvolkomenheid opduikt. Alle componenten, functies, infrastructuur en mogelijke bedreigingen moeten vooraf bekend zijn want een kleine onvolkomenheid kan het kaartenhuis in elkaar laten storten.

Twijfel over uw beveiligingsgraad in de cloud? Dan wordt het hoog tijd voor een serieus gesprek met uw cloud provider. We kunnen veel bij Vigour, maar ook niet alles...