Купил билет в Лувр — и попал в базу данных хакеров. Добро пожаловать в эпоху культурного туризма

Мартовская атака на билетную платформу Vivaticket ударила не по одной компании, а сразу по огромному пласту европейской культурной инфраструктуры. Из-за взлома сбои затронули около 3,5 тыс. музеев и памятников, а под удар попали как национальные площадки Франции, так и миллионы пользователей, которые бронировали билеты через интернет.

Vivaticket работает в 50 странах и обслуживает тысячи организаций. Через платформу ежегодно проходит около 850 млн билетов. Среди клиентов - Лувр и другие крупные французские культурные объекты. После атаки часть учреждений потеряла доступ к защищённой системе онлайн-бронирования, а некоторые сервисы записи и продажи билетов, как сообщается, до сих пор работают с ограничениями.

По имеющимся данным, атака произошла 2 марта. Ответственность взяла на себя группировка RansomHouse. В качестве точки входа злоумышленники называют Irec SAS - французскую «дочку» Vivaticket. На своей площадке для публикации утечек группа заявила, что компания якобы пыталась скрыть инцидент, и пригрозила раскрытием конфиденциальных данных и проектной документации.

Злоумышленники утверждают, что получили имена и фамилии пользователей, адреса электронной почты, историю покупок и бронирований, страну проживания, почтовые индексы, технические данные аккаунтов и отметки времени входа в систему. Такая база уже сама по себе ценна: по ней можно строить фишинговые сценарии, подделывать уведомления от музеев и выманивать у людей дополнительные сведения.

Vivaticket при этом заявляет, что признаков доступа к финансовым данным пока нет. Речь идёт прежде всего о банковской информации и реквизитах карт. Французское министерство культуры оценивает последствия осторожнее: окончательный финансовый ущерб ещё подсчитывают на уровне отдельных учреждений, и ясной картины пока нет.

Сбой затронул не абстрактные площадки, а самые посещаемые объекты. Среди тех, кто столкнулся с проблемами в системе онлайн-бронирования, упоминаются Лувр, музей Орсе, музей на набережной Бранли, собор Парижской Богоматери, Триумфальная арка и Эйфелева башня. Для части европейских площадок это означало фактическую остановку интернет-продаж, а значит - потерю выручки, сложности с потоком посетителей и необходимость срочно перестраивать работу с клиентами.

Сейчас Vivaticket работает вместе с французским национальным агентством по кибербезопасности ANSSI и правоохранительными органами, чтобы понять масштаб взлома. Затронутые организации параллельно уведомляют посетителей о возможной компрометации персональных данных.

Злоумышленники всё чаще бьют не по конечной организации, а по подрядчику, через которого проходит большой объём данных сразу многих клиентов. В случае с Vivaticket взлом одной платформы дал потенциальный доступ к концентрированному массиву пользовательской информации, собранной у музеев, памятников и культурных площадок в разных странах.

Настораживает и характер самой операции. Вымогательские группы давно перестали ограничиваться шифрованием инфраструктуры. Сейчас для них не менее важна кража данных: на украденных массивах строят давление на жертву, угрозы публикации и последующие фишинговые кампании. В такой схеме сбой в работе сервиса - лишь видимая часть проблемы, а основная ценность для атакующих лежит в базе посетителей и внутренней документации.

История с Vivaticket ещё раз показывает, что защита собственного периметра уже не спасает, если слабым местом становится внешний поставщик. Для музеев и других учреждений культурной сферы риск теперь связан не только с их внутренними системами, но и со всей цепочкой подрядчиков, которые хранят бронирования, билеты и персональные данные посетителей.