Ticketmaster is een bedrijf gelokaliseerd in Californië VS en is een verdeler van allerlei soorten tickets (optredens, festivals, tentoonstellingen, …). Als u tussen september 2017 en 23 juni 2018 een ticket heeft gekocht via Ticketmaster is het mogelijk dat uw persoonlijke informatie en betalingsgegevens zijn buitgemaakt door criminelen. Dat meldde het bedrijf op zijn website.
Inbenta Technologies
Bij de onderaannemer van het bedrijf, IT leverancier Inbenta Technologies, is malware gevonden waarmee cybercriminelen de gegevens van klanten van Ticketmaster gestolen hebben. Via hun klantenservicesoftware zijn namen, woonadressen, e-mailadressen, telefoonnummers, betalingsgegevens en paswoorden van Ticketmaster-accounts gestolen.
De ICT criminelen namen de chatbot, een product van Inbenta, op de betaalpagina van Ticketmaster over. Deze werd misbruikt om te kunnen zien wat klanten op de betaalpagina invulden en zo de gewenste gegevens over te nemen. Volgens Ibenta zou Ticketmaster zonder hun medeweten een aangepaste versie van de chatbot gepubliceerd hebben op hun website. Dit maakte de technologie volgens het bedrijf meer kwetsbaar voor hackers.
Communicatie naar het publiek
Ticketmaster beweert meteen na de ontdekking van de criminele software het Inbenta-product uitgeschakeld te hebben voor alle websites van het bedrijf. Iedereen die in de periode van september 2017 tot 23 juni 2018 een ticket kocht, ontving een mail met extra informatie.
Zo wordt er van de klanten gevraagd uit te kijken voor frauduleuze activiteit op hun bankrekening en hun wachtwoord van de Ticketmaster website te veranderen. Ze verzekeren gebruikers dat “Forensische teams en beveiligingsexperts dag en nacht werken om te begrijpen hoe de gegevens bloot zijn te komen liggen”.
Maar…
De Britse bank Monzo stelt echter dat Ticketmaster al maanden afweet van de hack.
Monzo heeft een tijd geleden zo’n 5000 creditcards van klanten vervangen nadat de bank opmerkte dat er met creditcards, waarmee kort daarvoor een aankoop bij Ticketmaster werd gedaan, werd gefraudeerd. De online bank waarschuwde Ticketmaster toen al en stelt dat het bedrijf op 12 april op hun kantoor is langsgeweest om de zaak te onderzoeken.
Volgens de Europese privacywetgeving moeten dit soort datalekken binnen de 72 uur worden gemeld bij de privacyauthoriteit. Desondanks bracht Ticketmaster het nieuws pas op 27 juni naar buiten. Of dit al eerder bij de Autoriteit persoonsgegevens geweten was, is niet duidelijk; lekken worden namelijk vertrouwelijk behandeld.
Het is dus niet helemaal zeker waarom de data breach nu pas gecommuniceerd wordt naar het publiek. Volgens de GDPR regelgeving is het aangewezen aan te geven waarom het incident niet gerapporteerd werd of de slachtoffers pas laat gecontacteerd. Ticketmaster vermeldt zelf niets over de situatie bij Monzo.
Fiascos voorkomen
Waarom, hoe en of de communicatie bij ticketmaster is misgelopen, is een raadsel maar de twijfel die nu groeit omtrent hun transparantie is niet goed voor hun reputatie. Bij veel bedrijven zijn er echter niet de mensen, specialisten of capaciteiten ter hande om zowel snel als juist te communiceren bij een datalek en tegelijk het incident in de hand te houden.
CyberContract biedt uw bedrijf bij dit soort crisissituaties zowel specialisten en technische hulp, reputatiemanagement en andere capaciteit. Voor meer informatie over onze cyberpolis en de brede omvang van onze dekking, bezoek onze website: www.cybercontract.eu
Bronnen:
