abonneren

Alles over het Ticketmaster datalek

Er zijn nogal wat mysteries rondom verkoopwebsite Ticketmaster. Zo is het aanschaffen van concertkaartjes altijd extra spannend door het vage “wachtrij”-beleid van het bedrijf, om nog maar te zwijgen over hoe de prijzen van de tickets nu precies totstandkomen. Sinds eind juni is daar een mysterie bij: het Ticketmaster datalek. Hoe heeft dit kunnen gebeuren? We duiken erin.

Een datalek is een vernietiging of wijziging van persoonsgegevens bij een bedrijf, zonder dat dit de bedoeling was. Het gaat daarbij ook om het vrijkomen van persoonsgegevens of wanneer er toegang is tot deze informatie. Dat gebeurt vaker dan je denkt. In 2017 alleen al waren er 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP), de instantie die meldingen van datalekken registreert en controleert. Dat was 70% meer dan het jaar ervoor. Enerzijds is dat aantal een goed teken, want het betekent dat bedrijven zich wel degelijk bewust zijn van de ernst van de zaak. Anderzijds zegt het ook dat diezelfde bedrijven hun informatiebeveiliging niet op orde hebben.

Lek door externe leverancier

Zo ook bij Ticketmaster, dat eind juni naar grote aantallen klanten een nieuwsbrief stuurde met de titel: “Ticketmaster UK data incident door externe leverancier”. Een heel andere toon dan andere Ticketmaster-e-mails, die eigenlijk altijd over concerten gaan. De e-mail is alleen verstuurd naar mensen die tussen september 2017 en 23 juni 2018 een ticket hebben gekocht of hebben geprobeerd een ticket te kopen. September 2017 tot juni 2018 is een lange tijd. Interessant detail is dat de e-mail en het nieuws op 28 juni werd verspreid, terwijl het lek al op 23 juni werd vastgesteld. Ook interessant is dat Ticketmaster zegt dat “slechts” 5 procent van haar klantenbestand is geraakt door het lek, maar Ticketmasters klantenbestand zo'n 230 miljoen klanten beslaat.

Het lek werd veroorzaakt door schadelijke software die werd gebruikt voor klantondersteuning op de website van Ticketmaster. De software, gemaakt door het externe bedrijf Inbenta Technologies, werd direct na de ontdekking uitgeschakeld. Een derde partij heeft echter persoonlijke informatie en/of betalingsgegevens van een groep klanten kunnen zien: e-mailadres, telefoonnummer, wachtwoord en betaalgegevens. Het euvel kwam aan het licht toen Ticketmaster UK zelf ontdekte dat er vreemde activiteit was op de bankrekening.

Vooral Britten getroffen

Er wordt gedacht dat vooral klanten van Ticketmaster Engeland er last van hebben, terwijl de software werd gebruikt op websites van Ticketmaster International. Er werd echter op het moment van ontdekken een export gedaan van Britse klantgegevens. Er wordt volgens Ticketmaster Nederland dan ook niet echt gevreesd dat er Nederlandse slachtoffers zijn, maar roept desondanks toch op bankoverzichten in de gaten te houden en het wachtwoord te veranderen. De Britse Ticketmaster meldt daarentegen dat er wel Nederlandse klantgegevens in dit systeem te vinden waren.

Er zijn nogal wat gemixte signalen over het hele issue. Zo schijnt de Britse bank Monzo al in april aangegeven te hebben dat er wat vreemde transacties op de rekening van ongeveer vijftig Ticketmaster-klanten te zien waren. Ook lijkt het erop dat vooral mensen die tussen februari en juni van 2018 kaartjes gekocht hebben getroffen zijn. De criminelen schijnen de betalingsgegevens vooral te gebruiken voor Netflix, Xendpay en Uber. Volgens de cybersecurityfirma RiskIQ is de aanval op Ticketmaster echter het topje van de ijsberg en zou hackerscollectief Magecart erachter te zitten. De groep bracht veranderingen toe aan de sites van Inbenta en SocialPlus door de JavaScript-code te manipuleren. Er werden credit card skimmers opgezet en zo kon deze zeer persoonlijke klant-informatie op straat komen te liggen. Toch is niets zeker. Ticketmaster zelf heeft sinds eind juni weinig nieuws laten horen over het datalek.

Als je getroffen bent door het Ticketmaster-lek, dan kun je met Ticketmaster contact opnemen. Het belooft getroffen klanten een service waarbij identiteitsdiefstal in de gaten wordt gehouden. Hier mogen gedupeerden dan een jaar gebruik van maken.

Er is een meldplicht van kracht op datalekken. Dat betekent dat organisaties contact moeten opnemen met de Autoriteit Persoonsgegevens (AP) direct zodra het datalek is ontdekt. Het hangt van het type datalek af of de mensen waarvan de persoonsgegevens zijn gelekt ook moeten worden geïnformeerd. Alle datalekken moeten worden gedocumenteerd, zodat de AP kan controleren of alles op correcte wijze is aangemeld.

Geschreven door: Laura Kempenaar op

Category: Nieuws, Samenleving, Security

Tags: