Ticketmaster 遭遇 5 亿人数据盗窃：这次大规模黑客攻击会带来哪些危险和后果？| ShinyHunters | 解答

负责调查的澳大利亚政府发言人在一份声明中表示：“国家网络安全办公室正在与Ticketmaster合作了解这一事件。”

Ticketmaster 是负责销售泰勒·斯威夫特 5 月 29 日至 30 日西班牙演唱会门票的公司，并负责明年 7 月在荷兰的三场演唱会的门票销售。

据报道，ShinyHunters 窃取的信息包括：Ticketmaster 客户的姓名、地址、电话号码和信用卡详细信息（后四位数字和有效期）。据悉，黑客以 50 万美元的价格出售这些被盗数据。

这个问题究竟意味着什么？

在我们目前生活的网络文化中，大规模信息盗窃并不是什么新鲜事，但很多时候我们并不了解这种类型的网络操作有多么危险以及会带来什么后果。

数字法律专家 Erick Iriarte 和圣伊格纳西奥洛约拉大学信息系统工程学位主任 Juan Salazar 接受了《El Comercio》的采访，以澄清这一问题、其后果以及可能的解决方案。

“一个组织可以拥有自然人或法人作为客户。如果是法人，通常属于信息安全类型，在大多数情况下具有合同影响，但如果被侵犯的数据属于自然人，则他们面临个人数据保护问题。个人数据法规定，与某人有合同或商业关系的用户将其数据交给该实体，以便可以妥善保护数据。如果没有这样做，并且由于组织的网络安全漏洞而导致个人数据泄露，那么不仅会对个人数据产生影响，因此适用于个人数据立法，而且对公司来说也是如此，公司可能会因不照顾这些个人的数据或特定于市场或其股东的数据而受到制裁，”Iriarte 向我们解释道，首先要了解这类问题的运作框架。

Iriarte 还解释说，用户相信 Tickermaster 等平台会保护他们的数据。“这是一个信任问题，”他坚持说。“这些公司拥有的机制之一是信息安全机制：（一些受保护的数据库只有部分人可以访问，或者有避免外部攻击的机制）。例如，他们所做的一件事是将支付网关置于平台之外，以提高安全级别。然而，在 Tickermaster 被黑客入侵等情况下，只要有客户的基本数据（全名、身份证、电子邮件）就足够了，这些数据可以与姓名和信用卡号相关联，从而产生身份盗窃并访问这些用户购买和收购的财务数据。在其他情况下，第三方可以访问此数据库，以便进行这些更改。”

“不可磨灭的数字足迹”

谈及这个话题，胡安·萨拉查警告我们，在这个以数字通信和交易为标志的世界中，我们也许没有意识到一些事情：当我们浏览网页时，我们都会留下数字足迹。

“数字足迹就像碳足迹一样，可以分析我们的污染程度。数字足迹是我们在数字环境中活动的全部痕迹。（银行卡操作、邮件、社交网络等）。实际上，一切都是互联的，有些机构强迫我们留下数据。因此，风险或危险在于我们在这些机构中留下了多少个人或私人数据，”他警告说。

信用卡付款、购买和销售产品及服务、选择性焦点

后果和危险

为什么这会变得危险？萨拉查扪心自问，并同意伊利亚特的观点，他说我们的身份很容易被冒充，我们的财务数据很容易被窃取，我们身份证、名字和姓氏等基本信息也很容易被窃取。

“许多人可能会淡化这一点，并说：‘但他们只过滤了我的名字和姓氏’，却不知道目前有更复杂的方法或技术，他们可以链接并找到我们每个人的行为模式，”萨拉查补充道。

“虽然主要的风险是财务风险，因为有了这些数据，黑手党就可以在第一时间采取行动，但最令人担忧的是这些信息被出售给第三方，从这里开始，这些数据可以用于许多事情。最快的方法之一是尝试找到你的财务行为模式，然后开始以三角测量和大规模的方式用你的数据模拟购买尝试，这就是问题所在。”

伊里亚特此时补充说，如果知道某人住在哪里，这可能不仅仅是一个财务影响的问题，还可能对个人产生影响。

另请参阅：Ticketmaster 进军秘鲁，旨在取代 Teleticket 和 Joinnus：其在该国的战略和计划

从这个意义上讲，它重申并澄清了我们不应该将这个问题视为“一个简单的数据库被窃取”。 “如果我从一个数据库获得你的名字、姓氏和身份证，我可以从另一个数据库获得你的卡号，从另一个数据库获得你的地址。没有任何数据是无害的，与我在互联网上找到的其他数据混合在一起会产生真正的影响。”

这个问题对秘鲁有何影响？

Ticketmaster 自 2023 年以来一直在秘鲁运营，这让我们怀疑这次大规模黑客攻击是否会影响我们秘鲁人。Iriarte 指出，可能存在类似 Tickermaster 的大规模黑客攻击。“在这 5 亿人中，可能也有一些秘鲁人，但在这种情况下，立法或监管框架在美国。”

秘鲁的数据保护法

“秘鲁的个人数据法已有 13 年历史。我们有针对公共部门的网络安全法规，我们有最近刚刚合法化的《网络防御法》，涉及关键国家资产问题，但网络安全和数据保护文化仍未渗透到民众或公司中，”他指出。走开。

“最近，由于还在分析过程中，因此尚未公开，我们做了初步调查，了解公司如何应对安全漏洞问题，他们是否意识到了这个问题，其影响有多大，以及对公司经济有何影响。” 例如，证券市场监管局从在股票市场交易的实体那里获得了报告，但这些报告很少。并不是因为存在信息，而是因为它存在于暗网上，例如，关于已经存在的漏洞。因此，我认为，一方面，人们缺乏知识，另一方面，关于正在发生的事情的信息并不透明。这意味着几乎没有人抱怨，因为人们对正在发生的事情知之甚少。”

对此，萨拉查解释道，在网络安全方面，金融实体在一定程度上受到保护，因为它们实施了自己的协议，但许多机构缺乏这些协议。

“秘鲁有数据保护法，29733，但正如他们所说，这只是一纸空文。例如，有关于敏感数据（图像、指纹）处理的文章，公司需要特殊处理来保护这些数据。然而，这并没有反映在现实中。”

2024 年 2 月至 3 月，数字解决方案专业公司 eBIZ 在世界互联网周框架内开展了一项研究，充分反映了这一法律缺失。这项调查与利马、伊卡、阿雷基帕和库斯科的拉萨尔学校网络合作进行，结果显示，年轻人对数字安全的实际了解与成年人的看法之间存在很大差距。这项研究针对 781 多名中小学生以及 125 名教师进行。

“最令人担忧的发现之一是，64% 的受访学生承认在网上分享家庭数据，尽管他们意识到（63%）这样做的危险。同样令人担忧的是，30% 的受访者表示曾遭受过网络欺凌，而 40% 的人认为发送性爱照片是一种危险行为，”报告中写道。 陈述。

“此外，只有 3% 的学生承认不知道如何面对网络危险，14% 的教师认为年轻人缺乏这方面的知识。此外，对分享个人数据风险的认知差异也很明显，35% 的学生和 66% 的教师认识到这种做法的危险性。

如何解决这个问题？伊里亚特和萨拉查都认为，政府需要从学校开始培育网络安全文化。

“例如，在欧洲，当他们在学校教授著名的计算机课程时，他们会在用户层面教授数字技能。因此，一方面，我们必须从学校培养对数字技能的认识和素养，”萨拉查警告说。

到目前为止，我们可以说，无论是在国内还是在国际上，形势都令人担忧。澳大利亚伍伦贡大学网络安全教授卡蒂娜·迈克尔已经告诉法新社：“计算机攻击影响到越来越多的人，造成的后果也越来越严重。网络攻击的受害者人数将不断增加，未来可能达到 10 亿。”

专家认为，这是因为“政府、企业和消费者没有采取足够的措施保护自己或投资于安全机制”。