Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ticketmaster UK waarschuwt deel van gebruikers voor datalek via leverancier

De Britse afdeling van Ticketmaster, dat kaartjes voor evenementen verkoopt, heeft mensen die van zijn dienst gebruik hebben gemaakt gewaarschuwd voor een datalek via een externe leverancier. Volgens het bedrijf treft het incident ongeveer vijf procent van zijn klanten.

Op een speciale site schrijft het bedrijf dat het 'schadelijke software heeft gevonden op een customerservicesproduct dat werd gehost door Inbenta Technologies'. Die leverancier specialiseert zich naar eigen zeggen in chatbots die werken met machinelearning. Verderop meldt Ticketmaster dat de software gegevens van Britse klanten 'exporteerde naar een onbekende derde partij'. Maar omdat het product van Inbenta ook op andere sites van Ticketmaster werd gebruikt, zoals Ticketmaster International, Ticketmaster UK, Getmein en Ticketweb, zegt het bedrijf ook andere gebruikers te hebben gewaarschuwd. Het gaat om internationale klanten die tussen september 2017 en 23 juni 2018 kaarten hebben gekocht of dat hebben geprobeerd.

Bij de buitgemaakte gegevens gaat het om naam, adres, e-mailadres, telefoonnummer, betalingsgegevens en logins van het Ticketmaster-account. Het bedrijf raadt mensen die een bericht hebben ontvangen, aan om op hun rekeningafschriften te letten en waakzaam te zijn voor 'aanwijzingen van fraude of identiteitsdiefstal'. Verschillende Nederlandse gebruikers van de dienst hebben een e-mail ontvangen. Ticketmaster schrijft op de site dat klanten die geen e-mail hebben ontvangen, volgens eigen onderzoek niet zijn getroffen. Getroffen klanten wordt gevraagd hun wachtwoord opnieuw in te stellen. Het kan ook geen kwaad het wachtwoord ook op andere sites aan te passen als het niet uniek is.

Inbenta schrijft in een eigen bericht dat de bron van het datalek een stuk JavaScript-code is dat speciaal voor Ticketmaster is aangepast en aanwezig was op een betaalpagina. Het bedrijf claimt daarvan niet op de hoogte te zijn geweest. Inbenta zegt dat eigen onderzoek uitwijst dat geen van zijn andere klanten is getroffen en heeft een faq gepubliceerd.

Door Sander van Voorst

Nieuwsredacteur

28-06-2018 • 10:10

82 Linkedin Google+

Submitter: [ti]

Reacties (82)

Wijzig sortering
Data incident door externe leverancier

Op zaterdag 23 juni 2018 heeft Ticketmaster UK schadelijke software vastgesteld op een customer support product dat werd gehost door Inbenta Technologies, een externe leverancier van Ticketmaster.

Direct na de ontdekking van de schadelijke software hebben we het Inbenta-product uitgeschakeld voor alle websites van Ticketmaster.

Omdat het Inbenta-product op de websites van Ticketmaster International werd gebruikt, is het mogelijk dat persoonlijke of betalingsgegevens van sommige klanten toegankelijk waren voor een onbekende derde partij.

We sturen je deze mail omdat je tussen September 2017 en 23 juni 2018 een ticket hebt gekocht, of hebt geprobeerd te kopen. Hoewel we geen aanwijzingen hebben dat jouw gegevens zijn getroffen, willen we je uit voorzorg op de hoogte brengen.

Forensische teams en beveiligingsexperts werken dag en nacht om te begrijpen hoe de gegevens bloot zijn komen te liggen.

We werken samen met de autoriteiten, evenals creditcardmaatschappijen en banken.

Wat we nu doen

- Ticketmaster heeft de website veiligheid.ticketmaster.nl in het leven geroepen om je vragen over het Inbenta-incident te beantwoorden. Als je alsnog een vraag hebt, kan je contact met ons opnemen via https://www.ticketmaster.nl/klantenservice.

- Uit voorzorg vragen we alle klanten die dit bericht ontvangen hun wachtwoord opnieuw in te stellen. Dat kan je doen door in te loggen op je account en te klikken op ‘wachtwoord vergeten’.

We raden je aan je rekeningafschriften te controleren op aanwijzingen van fraude of identiteitsdiefstal. Als je je zorgen maakt, of verdachte activiteiten in je afschriften opmerkt, neem dan contact op met de bank of het creditcardbedrijf.

We vinden het belangrijk om jouw persoonlijke goed te beveiligen. Wij nemen de beveiliging van deze gegevens zeer serieus, en het spijt ons dan ook je dit bericht te moeten sturen.

Hartelijke groet,
Team Ticketmaster
Bovenstaand kreeg ik in de mail.
Ik heb deze ook ontvangen. Ik stel me wel de vraag bij de eventuele GDPR-aanpassingen. Op 23 juni is dit ontdekt geweest. Volgens het GDPR moet dit binnen de 72u gemeld worden aan de gebruiker.
https://gdpr-info.eu/art-33-gdpr/ & https://www.imperva.com/b...reach-reporting-timeline/

Is dit nu niet te laat?
En hoezo delen ze mijn login en betaalgegevens met een chatbot ?
Ticketmaster heeft zijn zaken niet in orde. Ik weet niet hoe het nu zit, maar enkele jaren geleden heb ik een keer een probleem gehad met een betaling waardoor ik dacht dat die dubbel gebeurd kon zijn. Toen ik belde met de service desk, vroeg de vrouw aan de lijn naar mijn e-mailadres. Ter bevestiging vroeg ze of het klopte of dat het account met wachtwoord “xxxxx” was. Ik gaf aan dat dit toch wel erg onveilig is, maar ze verzekerde me dat dit geen probleem was. Sindsdien heb ik mijn vertrouwen in hen verloren en wist ik dat het een kwestie van tijd was voor dit verkeerd zou lopen, maar je kan als muziekliefhebber niet om hen heen. Hopelijk zijn er nu op dat vlak toch wat zaken verbeterd.
Wauw, dus niet enkel bewaren ze alles in plain text, maar krijgen zelfs helpdeskmedewerkers toegang tot deze gegevens, die ze dan nog doodleuk via de telefoon doorgeven?

Ik zie ze tevens nog altijd op de plain text offenders lijst staan :/
Ze hebben inderdaad moeite met de wetgeving.
Eind mei wilde ik mijn stokoude account opzeggen. Hiervoor moest een formulier opgestuurd worden met een kopie van mijn identietsbewijs!
Ik heb een mail gestuurd (natuurlijk zonder kopie) en na ruim 2 weken werd mijn account toch opgeheven. Het formulier is intussen aangepast waarbij de ID kopie eis verwijderd is. In plaats daarvan wordt nu verwacht dat je de mail verstuurd vanaf het mail adres van je account.
Het lek moet niet binnen 72 uur worden gemeld aan de gebruiker, maar aan de toezichthouder (AP in Nederland). Aan de gebruiker moet het “onverwijld” worden gemeld, oftewel zo snel mogelijk (Art 34 AVG). Hier zit echter wel wat interpretatievrijheid in naar mijn mening, want kan je hiermee wachten totdat je de risico’s hebt verminderd, reputatieschade hebt gedekt etc, maar dat is aan de rechter
Ik kreeg in het weekend al een mail van Visa (en dinsdag een nieuwe visacard) n.a.v. dit. Ze zullen het dus wel snel genoeg gemeld hebben.
Uit je eigen bron:
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
Het moet dus na ontdekking gemeld worden aan de controlerende instantie, niet aan de pers of aan de gebruikers. En zelfs als het langer dan 72 uur duurt is het in orde als er een redelijke uitleg voor is. We hebben hier met andere woorden te weinig info om daar conclusies uit te trekken.

[Reactie gewijzigd door Sorcix op 28 juni 2018 12:03]

Van Inbenta.
As the CEO of Inbenta, I’m writing you to convey (1) the full scope of the breach, and (2) how we have worked to ensure the issue is resolved:


1) On the evening of Saturday, June 23rd, we received notice from our customer Ticketmaster that the personal data of its users may have been compromised.

Upon further investigation by both parties, it has been confirmed that the source of the data breach was a single piece of JavaScript code, that was customized by Inbenta to meet Ticketmaster’s particular requirements. This code is not part of any of Inbenta’s products or present in any of our other implementations.

Ticketmaster directly applied the script to its payments page, without notifying our team. Had we known that the customized script was being used this way, we would have advised against it, as it incurs greater risk for vulnerability. The attacker(s) located, modified, and used this script to extract the payment information of Ticketmaster customers processed between February and June 2018.

2) We have resolved the vulnerability as of June 26th. We have also thoroughly checked all custom and general scripts and snippets, and we are completely confident that no other customer of Inbenta has been compromised in any way. We can fully assure our customers and end-users that no other implementation of Inbenta across any of our products or customer deployments has been affected. If you’d like more information about the breach, we have posted Security FAQ’s regarding this incident to our website.


We’re truly sorry that the use of our technology resulted in a violation of Ticketmaster users’ privacy. The privacy of our users is one of our core values, and we will continue to take every measure in our own power to safeguard the personal information of all users who interact with our products.
Het stukje wat bold is vind ik wel interessant.
Vorig jaar had Ticketmaster ook een flink datalek waardoor bestellingen (incl de downloadable concert tickets) en adresgegevens zichtbaar waren. Ik heb toen contact gezocht en geen enkele reactie ontvangen. Vraag mij af of ze dat lek in hun login formulier inmiddels gefixed hebben. De fout was dat je via een soort interne account bij klantgegevens kon komen, via hun publieke website.

https://scontent-ams3-1.x...8256825aaa131&oe=5BAF08BB

https://scontent-ams3-1.x...603d1f59cb446&oe=5BE13D4D

https://scontent-ams3-1.x...dc5106c9e3ee0&oe=5BA49C65

[Reactie gewijzigd door Stewie! op 28 juni 2018 14:47]

Ik heb dit mailtje dus ook ontvangen. Probeer ik in te loggen, krijg ik 'n melding dat m'n wachtwoord niet klopt (heb ik opgeslagen in m'n password manager en 'n paar weken geleden nog gebruikt). Nou weet ik niet of ze preventief alle wachtwoorden ongeldig hebben gemaakt, of dat mijn gegevens inderdaad zijn buitgemaakt. Als je daar 'n account hebt (en zeker als je dit mailtje hebt ontvangen), kan het in ieder geval geen kwaad om even te kijken of je nog kunt inloggen.
Buitgemaakt betekent niet dat jouw wachtwoord is ontvreemd en er nu een leeg veld in de database staat he. Dus ik vermoed dat ze het wachtwoord preventief hebben gereset.
Ik had hetzelfde probleem, maar dan met LastPass. Dus ik hoop dat dat ook een foutje daarin is, en ik binnenkort niet opeens te horen krijg dat mn tickets al gebruikt zijn...
Oh, da's nog wel 'n goeie, ik had alleen maar gekeken of er geen gekke dingen tussen stonden. Denk dat ik de klantenservice maar even ga vragen om m'n oude tickets ongeldig te maken en nieuwe aan te maken.
Nog een betere hoe waren de wachtwoorden opgeslagen?
Die vind ik persoonlijk minder spannend. Fatsoenlijk beveiligingsgebruik houdt toch in dat je hetzelfde wachtwoord nergens anders gebruikt, dus zal me worst zijn als ze dat weten te decrypten.
Niet iedereen is zo op de hoogte 😜
Same here, zou wel nuttige informatie zijn inderdaad als ze even vermelden wanneer ze wijzigen afdwingen. Ik zal mijn wachtwoord maar even aanpassen naar:

BokkeTicketmasterNietzomaarEenJavascriptjeImplementerenZonderTeOverleggen1234..
Jammer voor je. Het wachtwoord mag maximaal 32 karakters lang zijn. :)
Onbegrijpelijk dat het wachtwoord niet langer mag zijn, trouwens.
In het bericht staat het volgende:

- Uit voorzorg vragen we alle klanten die dit bericht ontvangen hun wachtwoord opnieuw in te stellen. Dat kan je doen door in te loggen op je account en te klikken op ‘wachtwoord vergeten’.
Oh, geloof dat ik daar gestopt ben met lezen na 'opnieuw in te stellen' :+ Ging ervan uit dat ik gewoon moest inloggen en via account management m'n wachtwoord moest wijzigen.
Dat is wel een hele vreemde plek voor de "Wachtwoord vergeten" optie. Ik neem aan dat ze deze ook beschikbaar hebben gemaakt zonder dat je moet inloggen.
Op hun website vind ik het volgende:

"As a precautionary measure, all notified customers will need to reset their passwords when they next log into their accounts"

Echter staat er niet bij of ze het zelf al dan niet geblokkeerd hebben.Ik kan er inderdaad ook niet meer in.

Edit: Ik heb er nog 5 tickets in staan voor festivals en optredens komende zomer zie ik nu, dus ik hoop maar dat daar nergens iets mis mee is :)

[Reactie gewijzigd door Zymp op 28 juni 2018 11:37]

Ik kon gewoon inloggen en op de reguliere manier mijn password resetten. Heb het mailtje ook gehad.
Het is de bedoeling dat je via het "wachtwoord vergeten" menu een nieuw wachtwoord aanvraagt. Die kun je vervolgens weer veranderen. ;)
Hey,

Geen idee of jouw wachtwoordmanager 1password of iets dergelijks is maar ik had een soortgelijk issue, gewoon wachtwoord vergeten doen, E-mail intikken en kijken of hij binnen komt. Zo ja? Dan was het waarschijnlijk een typo tijdens het aanmaken van het wachtwoord in je password manager. 1Password heeft bijvoorbeeld nog wel eens last hiervan ;)
Aha, dacht al dat het aan mij lag. Had dat wachtwoord random gegenereerd. Heb toen 'wachtwoord vergeten' geklikt > tijdelijk wachtwoord gekregen > nieuw wachtwoord gegenereerd.
Ik heb ook zojuist deze e-mail gekregen, maar nu ik dit artikel lees maak ik me minder zorgen. Schijnbaar gaat het dus om 3rd-party javascript. Gelukkig blokkeer ik de meeste 3rd-party content en dit is het bewijs dat iedereen dit moet doen! Dus zoek naar browserextensies zoals ublock origin, umatrix of noscript en bescherm jezelf tegen dit soort onzin.
Waarom zou Tweakers immuun zijn voor dit soort datalekken? Precies, niet.
Tsja, als je Tweakers.net whitelist blokkeer je alsnog zowat alle advertenties hier, aangezien die niet door Tweakers zelf worden geserveerd. Dus, pech voor hun.
Waarom zou dat nodig zijn als betaald lid? Reclame word toch al geblokt door tweakers zelf toch in dat geval?

Maar dit is precies de reden waarom er geen uitzondering komt, ook niet voor tweakers. Een veiligheids issue en ook op een legitieme site ben je de sjaak.
Waarom zou dat nodig zijn als betaald lid? Reclame word toch al geblokt door tweakers zelf toch in dat geval?
Klopt, dat staat ook in de tekst
Staat daar in dat Tweakers.net verantwoordelijk is voor de schade aangericht door malafide advertenties die (god mag weten waarom) nog steeds Javascript toestaan? Zolang dat nog bestaat, is wat mij betreft adblock op elke website geoorloofd. En ja, dat is meerdere malen voorgekomen op Tweakers.
Sowieso is de kans nogal klein:
Welke landen zijn getroffen?

Op basis van ons onderzoek zijn we ervan overtuigd dat alleen een aantal Britse klanten die tickets hebben gekocht of geprobeerd hebben te kopen, door het incident mogelijk zijn getroffen. Uit voorzorg vragen we ook alle klanten van Ticketmaster International buiten het Verenigd Koninkrijk hun wachtwoord opnieuw in te stellen wanneer ze inloggen op hun account. Klanten in Noord-Amerika zijn niet getroffen.
Alhoewel....
Als je geen e-mail van ons hebt ontvangen, dan denken wij dat jij op basis van ons onderzoek niet getroffen bent door dit beveiligingsincident.

[Reactie gewijzigd door AnonymousWP op 28 juni 2018 10:25]

Ik heb 'em ook gekregen (moet voor Star Wars Identities zijn geweest). Bij mij ook standaard blockers en daarnaast betalingen nooit via CreditCard maar altijd via iDeal (of PayPal, als iDeal niet mogelijk is). Hoe minder sites toegang hebben tot betaalgegevens, hoe beter.
Volgens de mail (heb hem zelf ook gehad) kan je op onderstaande manier je wachtwoord opnieuw instellen:
Uit voorzorg vragen we alle klanten die dit bericht ontvangen hun wachtwoord opnieuw in te stellen. Dat kan je doen door in te loggen op je account en te klikken op ‘wachtwoord vergeten’.
Je hoeft niet per se in te loggen om op "wachtwoord vergeten" te kunnen klikken. Dat zou ook wel een beetje raar zijn ;)
Vond de zin ook erg krom toen ik hem de eerste keer las, maar zo staat hij letterlijk in de mail. :)
Daarom geef ik nooit mijn creditcard gegevens aan dit soort clubs.
Paypal en Ideal hebben nog een extra verificatie en je gegevens zijn niet zichtbaar voor de originele portal. Sommige creditcards hebben ook een verificatie via App maar dan liggen je nummer, naam en datum al wel bij de originele portal met allerlei "handige" add-ons. Alleen de CVC is geen sterke bescherming.
Sterker nog, er zijn zat (internationale) sites waar CVC nog steeds niet vereist is al heb je hem wel. Soms is het invullen van het nummer en de datum voldoende om een betaling te verrichten en dan verbaas ik me altijd enorm (zakelijke transacties voor 't werk). In NL moet ik altijd aan de haal met een identifier kastje pincode etc etc etc.
Inderdaad.
In de VS was swipen genoeg in de meeste gevallen 2 jaar geleden.
3 maand later kwamen de spooktransacties binnen, behoorlijke schadepost voor Mastercard. 8)7
iDeal biedt geen enkele bescherming. Als je daar betaald hebt acht de bank juist door het mechanisme met 2-factor authentication het bewezen dat jij zelf de betaling bewust hebt uitgevoerd.
Als je de pech hebt te hebben betaald een aan partij die vervolgens zijn afspraken niet nakomt (niet levert waarvoor betaald is) kun je zelf proberen je geld op de één of andere manier terug te halen.
Iemand enig idee of de login gegevens plaintext of hashed wachtwoorden bevat? En indien het laatste, welk hashing algoritme?
Het gaat waarschijnlijk om een client-side lek, dus dan waarschijnlijk plaintext. Vermoedelijk alleen credit card gegevens, maar de berichtgegeving is niet erg duidelijk hierover.

Het statement van Ibenta roept ook vragen op: https://www.inbenta.com/e...ticketmaster-data-breach/

[Reactie gewijzigd door Opperpanter2 op 28 juni 2018 13:17]

Kreeg zelf ook de mail. Denk dat ze alleen mensen een mail sturen die transacties hebben gedaan in de aangegeven periode.
Lekker als we vanavond naar een concert gaan. Maar verwacht dat de gekochte kaartjes wel gewoon "veilig" zijn.
Denk dat ze alleen mensen een mail sturen die transacties hebben gedaan in de aangegeven periode.
Misschien is dat waarom er in die mail stond "We sturen je deze mail omdat je tussen September 2017 en 23 juni 2018 een ticket hebt gekocht, of hebt geprobeerd te kopen."
Hmm, erg balen. In die tijd (februari en 23 juni 2018) heb ik een ticket gekocht. Vind het volslagen absurd dat ik verplicht mijn telefoonnummer moet invoeren voor m'n account. Maak dat dan lekker opt-in ofzo. Maar het nummer van de huistelefoon ingevoerd..
Niet alleen dat, ook je huisadres etc.

Je kunt niet eens je account laten verwijderen via de site: daarvoor moet je weer apart een mailtje sturen naar Ticketmaster....
Ik vind het een raar verhaal. Inbenta geeft aan:
Inbenta has conducted a detailed analysis of all the file systems used for development and production systems, thoroughly analysing any difference between the original source code and the version in the production environment. We can confirm that just 3 files were altered that affected 3 specific websites for Ticketmaster. No other file has been affected, and therefore we are completely confident that no other customer of Inbenta has been affected.
Met andere woorden: 'ja er waren 3 files op onze productieserver aangepast, maar we weten zeker dat andere files niet zijn aangepast'. Nergens wordt aangegeven hoe die files zijn aangepast, waarom iemand ze kon aanpassen, en wat er is gedaan om te zorgen dat dit niet meer gebeurt.

Ze geven aan dat de files niet op de payment pagina hadden mogen staan. Maar dat is een non-reden. Al staat het op een statische informatiepagina, dan nog lek je persoongegevens (IP, browserinfo) als iemand iets met die scripts kan doen. Doordat het op de payment pagina stond zijn hooguit gevoeligere gegevens gelekt, maar het is compleet niet de oorzaak van het probleem.
Inderdaad vreemd!
De payment pagina behoort niet bij een datamining club te staan. Deze 3 files zijn dus onder hun verantwoording door een onverlaat geplaatst.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True