Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update

Ticketmaster Nederland heeft de wachtwoorden van gebruikersaccounts een reset gegeven nadat de site verdachte inlogpogingen heeft waargenomen. Volgens de dienst werd er mogelijk ingelogd met gegevens die eerder bij een andere dienst zijn uitgelekt.

Verschillende tweakers hebben de e-mail ontvangen en Ticketmaster meldt op Twitter dat de e-mail is gestuurd 'naar ticketkopers'. Het lijkt erop dat de dienst het wachtwoord van alle of in ieder geval veel gebruikers heeft gereset. Ook mensen die wachtwoordmanagers en unieke wachtwoorden gebruiken, hebben de e-mail ontvangen.

In de e-mail schrijft Ticketmaster dat er 'ongewone inlogpogingen' zijn ontdekt bij een aantal accounts. Volgens het bedrijf zijn daarbij mogelijk inloggegevens gebruikt die verkregen zijn via een lek bij een andere dienst. Bedrijven resetten vaker wachtwoorden van gebruikers om die reden, maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.

De e-mail vervolgt: "Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset". Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is of dat de communicatie onduidelijk is opgesteld. Tweakers heeft Ticketmaster om een toelichting gevraagd.

Update, 14:12: Ticketmaster meldt in een reactie op Twitter dat de e-mail naar alle gebruikers is gestuurd.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 12-02-2020 13:39222

12-02-2020 • 13:39

222 Linkedin

Lees meer

De toekomst van het wachtwoord
Beveiliging en antivirus

21 okt 2019

De toekomst van het wachtwoord

Er moet iets veranderen aan authenticatie

259
Ticketmaster krijgt miljoenenboete voor inloggen op systemen van concurrent Nieuws van 1 januari 2021
Ticketmaster krijgt boete van 1,39 miljoen euro na datalek Nieuws van 13 november 2020
172 miljoen slecht beveiligde wachtwoorden zijn uitgelekt bij gamemaker Zynga Nieuws van 19 december 2019
Onderzoekers vinden database met profielen en info van 1,2 miljard gebruikers Nieuws van 22 november 2019
WizzAir reset wachtwoorden van klanten uit voorzorg na technische problemen Nieuws van 19 juli 2019
Slack reset wachtwoorden van deel gebruikers na diefstal gegevens in 2015 Nieuws van 18 juli 2019
Flipboard geeft wachtwoorden reset na maandenlange servertoegang door criminelen Nieuws van 29 mei 2019
Meer producten en artikelen
Beveiliging en antivirus Wachtwoord

Reacties (222)

-Moderatie-faq
222
222
172
17
0
44
Wijzig sortering
ChefChocolateball
12 februari 2020 13:42
Opvallend ook dat ze op eigen site/communicatie aangeven: " klik niet op links...", Vervolgens in eigen mail vrolijk een link toevoegen. Helpt niet echt in onderscheiden van een phising bericht volgens mij
Robkazoe
@ChefChocolateball12 februari 2020 13:49
Heb zojuist mijn wachtwoord gereset. Maar daar zaten ook een paar opmerkelijke zaken bij. Ten eerste zat bij de mail van het resetten van het wachtwoord een nieuw wachtwoord in. Dat verdient niet echt de schoonheidsprijs. En daarnaast, het nieuwe wachtwoord wat je opgestuurd krijgt werkt permanent. Het is geen tijdelijk wachtwoord. Je wordt niet gedwongen om een nieuw wachtwoord te maken.

Dat kan ook allemaal wel een klein beetje beter...
cracking cloud
@Robkazoe12 februari 2020 15:13
Dus Ticketmaster is een Plain Text Offender?
Boss
@cracking cloud12 februari 2020 15:29
Dat hoeft op zich niet. Ze kunnen het wachtwoord aan je mailen voordat het gehashed de database in gaat. Feitenlijk is er dan weinig verschil met een 'lange reset wachtwoord url' en het wachtwoord zo aan je mailen. Beide processen gaan er van uit dat mail een veilig middel is.

Probleem is wel dat het wachtwoord daarna niet aangepast hoeft te worden en dus blijkbaar ook langere tijd gebruikt kan worden. Voor zo'n kort wachtwoord is dat niet goed.
cracking cloud
@Boss12 februari 2020 16:02
Als het via mail verzonden is ligt het in principe op straat.

Also: oud maar goud: https://www.troyhunt.com/everything-you-ever-wanted-to-know/
Frosty_nl
@Robkazoe12 februari 2020 14:10
"Je Tijdelijke Wachtwoord" staat in de e-mail en "Om veiligheidsredenen adviseren we je het wachtwoord z.s.m. te wijzigen". Het zou inderdaad geen permanent wachtwoord moeten zijn, want het is maar 8 karakters en verzonden via e-mail.
gooos
@Frosty_nl12 februari 2020 15:15
Helemaal mee eens, best apart dat zulke grote organisaties dat toch niet beter begrijpen te implementeren. Uiteraard, het zal best even wat programmeerwerk kosten maar het is niet dat we in 1996 leven ofzo.

[Reactie gewijzigd door gooos op 13 februari 2020 16:35]

casberrypi
@gooos13 februari 2020 13:26
Je verwardt grote naam met professionele organisatie. Ik ken ticketmaster omdat ze een lange tijd onbereikbaar waren voor gebruikers met IPv6 omdat in hun DNS een ongeldig AAAA record stond. Daar heb ik ze op geattendeerd en dat duurde maanden voor het hersteld was. Het zijn prutsers.
bennie321
@Robkazoe12 februari 2020 14:27
Ik heb ook een mail van ticketmaster ontvangen, maar daar stond geen tijdelijk wachtwoord in, alleen de instructie hoe ik mijn wachtwoord kon resetten op de website zelf.
The_Worst
@bennie32112 februari 2020 14:32
Wel even goed lezen: ;)
"...en eerste zat bij de mail van het resetten van het wachtwoord een nieuw wachtwoord in."
SunnieNL
@bennie32112 februari 2020 14:35
Als je dat doet, krijg je een mail met een 'tijdelijk' wachtwoord, wat permanent blijkt te zijn tenzij je het zelf wijzigt. In principe zou direct bij het inloggen met dat wachtwoord om een nieuw wachtwoord gevraagd moeten worden. Het beste zou zijn als deze diensten waar betalingen en creditcard gegevens worden opgeslagen dan direct ook zou checken bij services als haveibeenpawned of die nieuwe combi daar ook niet bekend is.
stefanhendriks
@Robkazoe12 februari 2020 14:38
dus, als je een sterk wachtwoord had is deze nu omgezet naar een zwakke. Als je te weinig op ticketmaster komt dan heb je nu opeens een zwakker account.

Beter was om de accounts te blocken. Bij inlog poging een melding maken dat account ww weggehaald is en dat deze met 'reset wachtwoord' functionaliteit terug gezet kan worden.

De mail had dan hetzelfde kunnen zijn, zonder een 'tijdelijk maar toch niet zo tijdelijk' wachtwoord.
Axelotl
@stefanhendriks12 februari 2020 16:07
Je krijgt niet automatisch een wachtwoord. In de eerste mail van ticketmaster staat dat je wachtwoord is gereset, maar je hebt in diezelfde mail niet je wachtwoord gekregen. Volgens mij blokkeren ze je account, en kun je vervolgens zelf op de website een nieuw wachtwoord aanvragen. In die tweede mail staat dan je 8 karakter lang wachtwoord in plain text.
13art
@Axelotl12 februari 2020 16:26
Nope, je gaat naar de website, vult je email in bij 'wachtwoord vergeten' en vervolgens krijg je netjes een email met daarin het nieuwe wachtwoord waarmee je kan inloggen. Been there done that, nadat ik de mail binnenkreeg. Zoals @Robkazoe zegt klopt het helemaal. Zo ging het vandaag bij mij ook. Uiteraard daarna wel meteen het wachtwoord weer aangepast.

edit:
Het is maar net hoe je het bericht van @Robkazoe wil lezen. Maar het wachtwoord staat inderdaad niet in de e-mail waarin staat dat er onregelmatigheden waren. MAar dat werd door @Robkazoe ook niet zo bedoeld volgens mij.

[Reactie gewijzigd door 13art op 12 februari 2020 16:28]

SWINX
@13art12 februari 2020 18:07
In principe zou je wachtwoord in de tussentijd "leeg" kunnen zijn in hun database, waardoor deze niet onveiliger is geworden (helemaal geen login mogelijk) en dat deze pas bij een reset aanvraag wordt gevuld met je tijdelijke wachtwoord, om deze daarna zelf te wijzigen naar iets anders.
Sahi_NL
@Axelotl12 februari 2020 18:07
Nee, maar ze hebben het wel voor je aangepast staat in die mail, ik mag hopen in iets degelijkers dan een combinatie van 8 letters/cijfers (de gegenereerde die ik kreeg na een reset).

8 tekens is binnen een dag te brute-forcen. Met alleen letters/cijfers mogelijk nog sneller.
stefanhendriks
@Axelotl12 februari 2020 18:27
Ik zie het nu. Heb zelf ook mail van ze gehad. Dus eerst naar een link. Dan een mail. En dan opnieuw ww resetten. Omslachtige procedure. Waarvoor niet in 1x ww vergeten proces gebruiken?
Joostk
@Robkazoe12 februari 2020 15:10
Dat is inderdaad lekker slecht.
Als mijn mail ook gehackt is doordat ik daarvoor hetzelfde adres gebruik. En ik reset mijn wachtwoord voor Ticketmaster. Kunnen de hackers die mail ook gelijk gebruiken.
Arnout
@Robkazoe12 februari 2020 15:29
Ook dat elk woord met een hoofdletter begint doet denken aan phising.

https://tweakers.net/ext/f/ixiYiVHT61SEtLoGbZTawHuO/full.png

[Reactie gewijzigd door Arnout op 12 februari 2020 15:29]

iAR
@Robkazoe12 februari 2020 16:20
Ik vind het altijd zo gek dat je een tijdelijk wachtwoord krijgt, waarom niet gelijk een pagina waarop je een nieuw wachtwoord kunt instellen.
Ik heb gelijk maar een iOS 'sterk wachtwoord' laten aanmaken. Wel zo praktisch, is die ook weer wat lastiger.
Remmilou
@Robkazoe12 februari 2020 16:01
Sterker dan geen schoonheidsprijs. Regelrechte schande. Dat heet een plaintextoffender.
Ik heb ze daar direct op gewezen.
Effe de tijd geven, maar anders opgeven bij plaintextoffenders.com.
mdgf
@Remmilou13 februari 2020 11:29
Dat heet een plaintextoffender.
Dat kan je hier niet uit afleiden, je zou verwachten dat dat tijdelijke wachtwoord gegenereerd wordt op het moment dat je de resetaanvraag doet, dan kan deze (gehasht) opgeslagen worden en in plaintext verstuurd worden. Daar is an sich weinig mis mee, dit is niet veel anders dan een resetlink sturen per mail, zolang je verplicht wordt van het tijdelijke wachtwoord aan te passen, enkel wijzen andere hieronder erop dat dit niet verplicht wordt en dat is wel een probleem.
sellh48
@mdgf13 februari 2020 13:38
Is daar ook niet een stukje eigen verantwoordelijkheid als er uitdrukkelijk geadviseerd wordt om het wachtwoord aan te passen? Als veiligheid je lief is, volg je dat advies toch gewoon op?
Get!em
@Robkazoe12 februari 2020 19:48
De gegenereerde wachtwoord is de reset e-mail is slechts: 8 karakters. Bij opnieuw instellen is Bovendien 32 karakters de Max lengte. Moest ik mijn generator weer aanpassen, die geeft default 64 lengte.
tormentor1985
@Get!em13 februari 2020 08:55
Ik begrijp die maximale lengte ook nooit voor een password wat toch gehashed gaat worden. Daar zou geen limiet op hoeven zitten.
Calypso
@Robkazoe12 februari 2020 20:44
Als aanvulling: je oude wachtwoord opnieuw gebruiken is ook geen enkel probleem.
InjecTioN
@ChefChocolateball12 februari 2020 13:45
Precies dat dacht ik. Met die reden ben ik ook buiten die mail om naar TicketMaster gegaan. Sowieso altijd handig om weer even wachtwoorden te herzien!
murkienl
@InjecTioN12 februari 2020 13:48
Ik heb exact hetzelfde gedaan.
Opende de mail vanaf mijn telefoon, dus dan is het sowieso lastiger om de achterliggende link te checken.
Heb vervolgens zelf de website geopend en daar mijn wachtwoord gereset.
AceAceAce
@murkienl12 februari 2020 13:50
Op android: press & hold link
thunder8
@AceAceAce12 februari 2020 14:14
iOS net zo. :)
stefanhendriks
@thunder812 februari 2020 18:29
Op iOS open je dan de link in een tijdelijk venster? Dat lijkt me niet de bedoeling :)
thunder8
@stefanhendriks13 februari 2020 09:46
Nee de long press & hold laat je de daadwerkelijke link zien die achter de korte html omschrijving zit. Bij phishing kan je zo makkelijk controleren of de link in de mail van je bank komt of van een ander wazig domein.
stefanhendriks
@thunder814 februari 2020 08:14
Net op mn iphone 8 geprobeerd. Maar zie echt een voorvertoning?
thunder8
@stefanhendriks14 februari 2020 09:18
Ik niet. 7 Plus, maar gewoon met laatste iOS versie. Misschien ergens een instelling. Moet apart klikken voor een voorvertoning, zie echt alleen een link vergroot op me scherm staan, met wat opties eronder.
stefanhendriks
@thunder814 februari 2020 10:26
Interesting, zal eens kijken. Thx
murkienl
@AceAceAce12 februari 2020 13:50
Thanks!
steveman
@InjecTioN12 februari 2020 13:51
Ha, ja zo deed ik het ook.

Chrome maar een nieuw wachtwoord laten voorstellen. Ik weet hem al bijna uit het hoofd...
ReVision.
@InjecTioN12 februari 2020 14:08
Ja inderdaad, ik dacht in eerste instantie ook dat het een phishing bericht was door die link.
MadEgg
@ChefChocolateball12 februari 2020 13:45
Dat stoorde mij inderdaad ook al. Ik klik nooit op links in e-mail. In webapplicaties die ik bouw die e-mail verzenden zet ik ook nooit links in de e-mail. Het is algemeen goed gebruik om géén links in e-mail op te nemen, zeker niet als het ook maar iets met authenticatie te maken heeft. Hopelijk wennen gebruikers er dan aan dat ze niet op links moeten klikken maar zélf naar de site moeten navigeren waar ze actie willen ondernemen. Nummer 1 anti-phishing-maatregel.

[Reactie gewijzigd door MadEgg op 12 februari 2020 13:46]

gooos
@MadEgg12 februari 2020 15:17
Hulde en inderdaad als alle (grotere, maar ook de kleinere) organisaties het zo zouden doen dan gaan de laatste die het niet zo doen ook een keer overstag en het doet inderdaad het bewustzijn bij de gebruikers naar een hoger niveau tillen.
Remmilou
@gooos12 februari 2020 16:05
Nou nee dus. Ze sturen een nieuw (tijdelijk) wachtwoord in plaintext per mail.
Hoe oerstom kun je zijn.
Hun eigen digitale bewustzijn is erg laag.
pekeltje
@Remmilou12 februari 2020 17:15
Wat is er precies zo erg om het wachtwoord plaintext te versturen voor je het versleuteld opslaat in je database?

Als ze toch al in je mail komen kunnen ze ook zelf het wachtwoord resetten?
tonkie_67
@MadEgg12 februari 2020 15:29
Ik vind het op zich prima als er een link in een email staat zolang het maar een normale url is die je ook eenvoudig zelf kan invoeren (eg: https://fqdn.ame/login) en ook exact zo in de mail staat. Die onzinnig lange unieke urls naar een pagina waar je niet of heel lastig kan navigeren vanaf de homepage zijn een gruwel ..
Dan heb ik het wel over "rondschrijf emails": het is wat anders bij persoonlijke email op jouw eigen verzoek (eg mail met unieke bevestigingslink na het aanpassen van bijv persoonlijke gegevens: in die gevallen kan een link nuttig zijn.)
Ben zelf geen nl ticketmaster klant, maar wat ik hierboven lees is belooft niet veel goeds: password resetten ok, maar om dan per email het nieuwe ww te sturen wat dan permanent is is volgens mij het eerste hoofdstuk in het boek "hoe verzeker ik mezelf van computer inbraak en verpruts ik het vertrouwen van mijn klanten".... 8)7 |:( 8)7
Edit: zie nu dat "tijdelijke" ww blijkbaar verstuurd wordt nadat je zelf op reset hebt geklikt. Dacht eerst dat het nieuwe we al in de 1e email stond. Nog steeds slecht, maar niet zo extreem als ik eerst dacht.

[Reactie gewijzigd door tonkie_67 op 12 februari 2020 15:38]

stefanhendriks
@MadEgg12 februari 2020 18:31
Een link kan prima als deze tijdelijk geldig is lijkt me? Bijv ww reset link wat eenmalig gebruikt kan worden? En zo niet na 10 min verloopt?

Qua UX is een link veel fijner dan een link copy pasten. Al snap ik best dat je daar vanuit phishing oogpunt vanaf wil.
WaterFire
@ChefChocolateball12 februari 2020 14:50
Ik kan er overheen kijken, maar waarom hebben mailclients zoals Outlook en Gmail geen optie om links gewoon uit te schakelen?
Van Gmail kan je nog beredeneren dat ze reclamelinks niet willen blokkeren, maar Outlook zou toch moeten kunnen?
Zou meteen het risico op ransomware bij bedrijven kunnen verkleinen. Het is de afweging tussen gemak (je weTransfer link niet meer kunnen gebruiken is lastig) en veiligheid..
K-aroq
@WaterFire12 februari 2020 16:17
Ik denk dat er dan nog steeds hele volksstammen de URL kopieren en in hun browser pasten.
RSpanjaard
@WaterFire12 februari 2020 18:55
Als je links echt uit wilt schakelen, kan je natuuriijk een of andere veilige, niks-doende executable (evt zelf geschreven) als browser opgeven.
Fazz-Um
@ChefChocolateball12 februari 2020 13:50
Ik vond het inderdaad ook vreemd, dus heb ze via hun eigen contact formulier gemeld dat ik het niet vertrouwde. Vervolgens binnen mijn account het wachtwoord aangepast.
CH4OS
@ChefChocolateball12 februari 2020 15:00
En wat al helemaal niet helpt, om een (tijdelijk) wachtwoord per email naar de klanten te sturen.
Werk dan gewoon met een linkje en een token dat tijdelijk geldig is.
satoer
@ChefChocolateball12 februari 2020 15:06
En dan is dit nog van een Ticket bedrijfje. Ik verbaas mij helemaal dat banken dit doen. In hun email communicatie barst het van de links.
hawke84
@ChefChocolateball12 februari 2020 15:55
Dat was precies mijn gedachte.
Ik heb de URL ook maar gewoon even handmatig ingetikt, want ik gebruik die site al jaren niet meer en nu opeens een login issue....
zion
@ChefChocolateball12 februari 2020 16:04
Precies vanwege dit heb ik hem (de e-mail) genegeerd, maar als T.net persoonlijk contact heeft gehad zal ik hem dan toch maar gaan resetten.

Overigens is het handigste om uberhaubt je oude wachtwoord niet in te voeren (ivm mogelijke phishing) en meteen e-mail (hebben ze toch al) en "vraag nieuw wachtwoord aan" aan te klikken, mocht je eenzelfde wachtwoord op meerdere sites gebruilken (nooit doen!), dan werkt het ook gewoon, en krijg je een tijdelijk wachtwoord toegestuurd , en kan je een nieuw (anders dan je oude!) wachtwoord instellen.

[Reactie gewijzigd door zion op 12 februari 2020 16:16]

Auredium
@ChefChocolateball12 februari 2020 16:59
Even voor de duidelijkheid. Ik heb geen e-mail van Ticketmasters ontvangen. Ik gebruikte ticketmasters ook niet (nooit gebruikt) alhoewel ik wel een account heb. Ik heb voor de zekerheid zelf een reset van het wachtwoord gedaan en een nieuw ingesteld. (het was al een uniek wachtwoord voorheen).

Ik meld dit omdat er onduidelijkheid schijnt te zijn of alle mensen bij ticketmaster.nl deze mail hebben gekregen en dat is dus iig niet zo. Wellicht alleen mensen die inderdaad ticketmasters hebben gebruikt in een bepaalde periode.

Ik heb overigens ze verzocht mijn account te verwijderen.

/Edit; Ik heb nu de e-mail ontvangen welke hier wordt genoemd. Ik vermoed dat ik ze voor was met de mail toen ik mijn reset deed aanvragen. Ik heb natuurlijk niet op de link van die e-mail geklikt uit voorzorg.

[Reactie gewijzigd door Auredium op 12 februari 2020 18:24]

duderuud
12 februari 2020 13:42
De mail in kwestie:
Beste klant,

Bij Ticketmaster houden we onze website continue in de gaten zodat afwijkende activiteit snel opvalt. Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset. Zo kunnen wij ervoor zorgen dat je account, je persoonlijke gegevens en tickets van aankomende events veilig blijven.

Wat nu?
Via de website van Ticketmaster kan je een nieuw tijdelijk wachtwoord aanvragen. Klik rechtsboven op ‘Log in/registreer’ en reset hier je wachtwoord. Je ontvangt dan een tijdelijk wachtwoord per mail. Wij adviseren om dan direct je wachtwoord weer te wijzigen naar een zelfgekozen wachtwoord, welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden. Je kan dit doen zodra je bent ingelogd in je account met je tijdelijke wachtwoord, onder ‘Mijn profiel’ en vervolgens ‘Bewerk contactgegevens’.

Wat is er gebeurd?
Mensen gebruiken helaas vaak dezelfde inloggegevens op veel verschillende websites. Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen.

We vinden het erg belangrijk dat jouw persoonlijke gegevens veilig zijn, en blijven. Wil je daar meer over weten? Check dan onze privacy pagina.

Vriendelijke groeten,
Team Ticketmaster
XWB
@duderuud12 februari 2020 13:48
Ik heb dezelfde e-mail ontvangen. Toen ik vervolgens een nieuw wachtwoord aanvroeg werd dit wachtwoord per e-mail toegezonden. Beetje jammer.
AceAceAce
@XWB12 februari 2020 13:51
dat is heel normaal, welk ander kanaal dat zij al kennen kunnen ze anders gebruiken? security question doen ze niet aan
XWB
@AceAceAce12 februari 2020 14:16
Als ik op bv. Tweakers mijn wachtwoord vergeten ben krijg ik nooit een plain text wachtwoord toegestuurd, maar moet ik via een reset linkje een nieuw wachtwoord invoeren.
MsG
@XWB12 februari 2020 14:37
Als het wachtwoord een tijdelijke one-time use is, dan is er weinig verschil tussen een linkje die je niet moet laten uitlekken, of een wachtwoord die je niet moet laten uitlekken.
XWB
@MsG12 februari 2020 14:51
Als het wachtwoord een tijdelijke one-time use is
Maar dat is bij Ticketmaster dus niet het geval: ik heb daarnet meerdere keren met het zogenaamde tijdelijke wachtwoord kunnen inloggen.
MsG
@XWB12 februari 2020 15:34
Dat is dan een verkeerde implementatie, en zou het equivalent zijn van een link die je meerdere keren kan openen. Maar an sich het plain-text vermelden is niet wezenlijk onveiliger dan de one-time link.
CH4OS
@AceAceAce12 februari 2020 15:17
Ze hadden een URL met daarin een token kunnen geven die tijdelijk geldig is. Vervolgens kun je daarna via de site het nieuwe wachtwoord instellen. Doe je namelijk niets, dan blijft dit "tijdelijke" wachtwoord ingesteld staan zover ik weet.

Een wachtwoord in plain text - ook al is het een tijdelijke - over de lijn gooien is gewoon het domste wat je kan doen.

[Reactie gewijzigd door CH4OS op 12 februari 2020 15:20]

Huugje
@CH4OS12 februari 2020 17:14
Maar als een mailtje met het tijdelijke wachtwoord onderschept kan worden, dan geldt dat toch ook voor een mailtje met daarin een URL met token? In beide gevallen kan een kwaadwillige het wachtwoord wijzigen.
stefanhendriks
@Huugje12 februari 2020 18:36
Met als verschil dat je in het ene geval meer tijd hebt (tijd tussen mail onderschepping en potentiele inlog). De tijdelijke link zal altijd verlopen.

Zodra iemand je mail kan lezen is het afgelopen. Maar daar hebben we het nu niet over.
Huugje
@stefanhendriks12 februari 2020 21:07
Maar een tijdelijk wachtwoord kun je natuurlijk ook laten verlopen. Ik heb echter geen idee of dat in dit geval ook zo is.
CH4OS
@Huugje12 februari 2020 21:00
Maar als een mailtje met het tijdelijke wachtwoord onderschept kan worden, dan geldt dat toch ook voor een mailtje met daarin een URL met token? In beide gevallen kan een kwaadwillige het wachtwoord wijzigen.
Dat zeker, maar is er geen wachtwoord over de lijn gegaan, die heb je als gebruiker dan zelf in te stellen. Nu wordt het direct open en bloot gegooid, je hoeft er geen verdere moeite voor te doen.
tormentor1985
@CH4OS13 februari 2020 09:00
Al opgevallen dat ze de mail gewoon TLS encrypted versturen? Niets plain text aan dus tenzij iemand zo dom is om in deze tijd TLS mail niet te ondersteunen als ontvangende partij :)
CH4OS
@tormentor198513 februari 2020 09:45
Ik bedoelde het niet zozeer op die manier. Ik mag hopen dat eea via TLS verstuurd wordt anno 2020. Maar dat betekend niet dat het dan opeens verstandig is om het wachtwoord überhaupt in een e-mail te zetten (en dat bedoelde ik met plain text en over de lijn gooien). Je weet niet hoeveel mensen erbij kunnen bijvoorbeeld en een wachtwoord is wel degelijk een persoonlijk iets. ;)

Of schrijf jij jouw wachtwoorden ook op een briefje naast de computer? ;)

Overigens is bij een via TLS verstuurde verbinding de e-mail zelf niet per se versleuteld, daar zijn andere standaarden voor, zoals GPG of PGP.

[Reactie gewijzigd door CH4OS op 13 februari 2020 09:59]

tormentor1985
@CH4OS13 februari 2020 17:16
Wat ze doen verdient niet de schoonheidsprijs. Ik vond het ook raar een wachtwoord te ontvangen, ermee in te moeten loggen en vervolgens te moeten zoeken naar waar ik het in godsnaam kon veranderen.

Dan de 32 karakter limiet ook niet nodig in mijn ogen. En nee ik laat door enpass gewoon wachtwoorden genereren hoor :Y) Zo bepaal ik ook zelf waar ik mijn vault bewaar en ook die is afgeschermd met een zeer sterk wachtwoord wat ik uit mijn hoofd ken. ((Hoofd)letters, cijfers, leestekens)

Gpg gebruik ik inderdaad ook maar dat is toch vaak te complex voor huis tuin en keuken gebruikers en bedoeld om de content van de mail te encrypten zodat degene die in beheer is van een mailservers de mail niet kan lezen. Tot dat eindstation is de mail wel degelijk encrypted tijdens transport en kan niemand de inhoud lezen. Het is dus net zo veilig als inloggen op een website want daar kan een beheerder ook prima je wachtwoord onderscheppen zodra het verkeer de load balancer gepasseerd heeft en het request http naar een webserver gaat.
Anoniem: 120539
@AceAceAce12 februari 2020 14:06
Gelukkig maar, want het is vrij makkelijk om (als voorbeeld) te achterhalen dat jouw favoriete dier een uil is.

De antwoorden op dat soort vragen zijn vaak, zeker als je iemand kunt aanspreken, bijzonder makkelijk en zonder enige achterdocht van 'het slachtoffer' te achterhalen en dragen in veel gevallen dus niet bij aan de veiligheid.
AceAceAce
@Anoniem: 12053912 februari 2020 14:09
yes, daarom is het beter om daar of bullshit in te vullen (maar dan raak je deze herstelmogelijkheid kwijt), of de antwoorden op de security questions random te genereren en (ook) op te slaan in een password manager
mcDavid
@AceAceAce12 februari 2020 14:43
Nee dat is niet normaal. Normaal is dat je een éénmalig bruikbare token (evt in de vorm van een URL) naar het e-mail adres stuurt, dat gebruikt kan worden om een nieuw wachtwoord in te stellen.

Het wachtwoord zelf opsturen doe je NOOIT.
Nightjar
@AceAceAce12 februari 2020 15:02
Dat kan wel zijn, maar ik heb ze toch een mail gestuurd. Normaliter komt email van ticketmaster.nl en nu kwam het van email.ticketmaster.nl... ik dacht in eerste instantie ook dat het om phishing ging..
Remmilou
@AceAceAce12 februari 2020 16:07
Normaal? Omdat er meer zijn die dat doen?
Het is schandalig slecht. Zoek eens op de term plaintextoffender.
Nyarlathotep
@XWB12 februari 2020 14:41
Waarom? Of ze nou een wachtwoord sturen, of een linkje, het maakt niet uit.
En je maakt natuurlijk meteen een nieuw wachtwoord aan, dus er is helemaal geen issue.
Drukte om niets...

Overigens heb ik ook een nieuw wachtwoord aangevraagd, maar deze werkt niet.
Ik kan mij herinneren wel vaker inlogproblemen te hebben gehad, zeker op mijn Android telefoon.
Tijd voor een redesign?
Remmilou
@Nyarlathotep12 februari 2020 16:11
Dat maakt dus wel degelijk uit. Er is dus wel degelijk een issue. Geen drukte om niets.
Ga je inlezen over dit soort onveilig gedrag en herzie je commentaar.
aikebah
@Remmilou12 februari 2020 17:30
dat maakt dus helemaal niets uit, maar wat wel uitmaakt is dat het door hen verstuurde 'tijdelijke' password helemaal niet een time-limited one-time use password is. En dat is dus de fout die ticket-master maakt. Een soortgelijke fout kunnen ze net zo makkelijk maken met een token-based URL.

tijdelijk wachtwoord of link token maakt niet uit... het gaat om het tijdelijk & one-time use van het secret dat in de mail verstuurd wordt
i2Paq
@XWB12 februari 2020 13:50
Dat is een tijdelijk wachtwoord waarna het de bedoeling is dat je vervolgens een nieuwe aanmaakt.
XWB
@i2Paq12 februari 2020 13:54
Je kan er nooit van uitgaan dat mensen hun tijdelijk wachtwoord netjes aanpassen.
PaMu
@XWB12 februari 2020 13:57
Je kan makkelijk forceren dat bij de eerste login het wachtwoord gewijzigd moet worden voordat je iets anders kan doen.
The Zep Man
@PaMu12 februari 2020 14:04
En hoe forceer je gebruikers dat ze de eerste keer inloggen? Tot die tijd is er wel een tijdelijk wachtwoord ingesteld dat plain text over het Internet is gegaan.
rbr320
@The Zep Man12 februari 2020 14:10
Tot die tijd is er wel een tijdelijk wachtwoord ingesteld dat plain text over het Internet is gegaan.
Dat is natuurlijk niet helemaal waar, aangezien vrijwel alle email aanbieders geen plain SMTP meer gebruiken maar SMTP over TLS. Ook Ticketmaster gebruikt SMTPS, dat is in Gmail duidelijk te zien.

Desalnietemin heb je in principe natuurlijk gelijk en is de procedure die Ticketmaster hier hanteert niet erg veilig te noemen.
Opperpanter2
@rbr32012 februari 2020 14:12
Het alternatief is dat ze in plaats van een tijdelijk wachtwoord dat een link sturen om een nieuw wachtwoord in te stellen. Die link gaat ook over e-mail dus als iemand e-mail kan onderschappen, kan die ook de link onderscheppen :-)
jongetje
@Opperpanter212 februari 2020 15:27
Zo'n link is alleen (hopelijk) tijdelijk geldig. Als ik nu een berg e-mail adressen invoer heb ik daarmee direct voor die adressen hun wachtwoord gereset naar iets anders.
Opperpanter2
@jongetje12 februari 2020 17:36
Dat ook nog inderdaad.
mschol
@The Zep Man12 februari 2020 16:49
als gebruikers niet op de eerste mail reageren/actie ondernemen is er niks aan de hand; dan is er geen wachtwoord verstuurd:
Wat nu?
Via de website van Ticketmaster kan je een nieuw tijdelijk wachtwoord aanvragen. Klik rechtsboven op ‘Log in/registreer’ en reset hier je wachtwoord. Je ontvangt dan een tijdelijk wachtwoord per mail. Wij adviseren om dan direct je wachtwoord weer te wijzigen naar een zelfgekozen wachtwoord, welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden
het vereist dus al actie van een gebruiker om een nieuw wachtwoord te krijgen, de kans dat de gebruiker dan niet doorgaat is minimaal.. (kans is uiteraard aanwezig, maar zelden zal iemand een nieuw wachtwoord aanvragen en daar niet mee inloggen)
XWB
@PaMu12 februari 2020 13:57
True, maar voor zover ik kan zien doet Ticketmaster dat helemaal niet.
mschol
@PaMu12 februari 2020 13:58
Je kan makkelijk forceren dat bij de eerste login het wachtwoord gewijzigd moet worden voordat je iets anders kan doen.
dat kan ja, maar dat doet ticketmaster niet
Bacchus
@i2Paq12 februari 2020 14:49
@i2Paq Volgens mij is het gewoon een permanent wachtwoord, ik zag in ieder geval nergens een verloopdatum genoemd worden.
i2Paq
@Bacchus13 februari 2020 11:16
In mijn mailtje staat toch echte "tijdelijk" ;)
Biermeester
@XWB12 februari 2020 13:51
Er staat ook in de mail dat het een tijdelijk wachtwoord is dat zo snel mogelijk aangepast moet worden.

Maar goed, blijft e-mail...
Henrikop
@XWB12 februari 2020 13:54
Het is vooral jammer dat ze na het inloggen met je tijdelijke wachtwoord, je toch even moet zoeken om het aan te passen, met het gevolg dat niemand dat bijna doet.
Kapotlood
@duderuud12 februari 2020 13:49
Dit is 'm inderdaad, ik had precies dezelfde. Heel even dacht ik dat het een phishing-mail was omdat ik Ticketmaster nagenoeg nooit gebruik, maar het was inderdaad een echte.

Gelijk even het wachtwoord gereset, maar ik moet zeggen dat ze bij Ticketmaster snel gehandeld lijken te hebben. Niks geen "onder de pet"-houding, maar wachtwoord resetten en een redelijk uitgebreid mailtje er achter aan.
Borland
@Kapotlood12 februari 2020 14:05
Maar de grote vraag is; zijn ze ingelogd op mijn account en hebben ze kaarten gedownload? Heb nog een aantal 3 dagenkaarten en een zaterdag kaart voor North Sea Jazz 2020 erin staan. Moet ik nu maanden mezelf afvragen of ik straks geweigerd word tijdens het evenement? En lekkere handel in kaarten op deze manier.
ocrammarco
@Kapotlood12 februari 2020 14:06
Heb ook inderdaad unieke adressen, dit was overigens zolang geleden dat het op een oud mail adres was. Maar een reset maakt toch niet veel uit? Als ze een database hebben en dus automatisch proberen in te loggen is een overeenkomend wachtwoord niet relevant voor de activiteit die ze bij het inloggen zien? Aangezien het mailadres voor veruit de meeste mensen niet uniek is.
Blaise
@Kapotlood12 februari 2020 17:36
Niks geen "onder de pet"-houding, maar wachtwoord resetten en een redelijk uitgebreid mailtje er achter aan.

Ik zie dat anders. Ik weet nog steeds niet wat de aanleiding is voor het resetten van mijn wachtwoord. Zijn ze gehackt? Hoe hadden ze mijn wachtwoord versleuteld? Stappen ze over op een veiliger password hashing systeem?
iVENSTenAh
@duderuud12 februari 2020 13:47
Heb de mail ook ontvangen, maar gebruik naast unieke wachtwoorden ook op veel plekken (waaronder Ticketmaster) unieke emailadressen...
Mathijs
@iVENSTenAh16 februari 2020 22:06
Ik ontving hem ook, maar las hem eerst op de telefoon terwijl ik aan het werk was en had zoiets van "ja, ja, daar kijk ik thuis nog wel eens naar als ik de headers goed kan zien.
Het had net zo goed een phishingmail kunnen zijn namelijk.

Het lijkt er inderdaad op dat deze mail naar iedereen is gestuurd, aangezien mijn wachtwoord wel degelijk uniek was.
hbrowser
@duderuud12 februari 2020 14:06
welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden
[...]
Mij viel bovenstaande meteen op in de mail. Als ik dat lees denk ik aan gedeelten van wachtwoorden, niet hele wachtwoorden. Hoe kan zoiets überhaupt worden gecontroleerd? Aannemend dat wachtwoorden niet in een ontsleutelbare vorm worden opgeslagen.

Het enige dat ik kan verzinnen is om gedeelten van wachtwoorden óók te hashen en die naast de volledige hash op te slaan. Maar volgens mij vergroot je daarmee alleen het aanvalsoppervlak.

Ik denk vast te ver door - ze checken zeker alleen gehele gebruikte wachtwoorden.
mddd
12 februari 2020 14:08
Dit is wel een beetje een gekke situatie. Ik zie niet echt in waarom een bedrijf gebruikers verplicht om wachtwoorden te veranderen wanneer ANDERE sites lekken hebben gehad. Dan kun je immers wel bezig blijven!

Het enige wat ik me zou kunnen voorstellen is dat ze hun wachtwoorden-database hebben getest tegen een externe 'p0wned' achtige database, en erachter kwamen dat er wel veel dubbelingen in zaten. Maar dat bewijst dus enkel dat hun gebruikers dus doorsnee mensen zijn die geen unieke passwords gebruiken.

Aan de ene kant goed dat een bedrijf actie onderneemt voor de veiligheid, aan de andere kant vind ik dit behoorlijk ingrijpend (gedwongen reset). Als je mensen bewuster wilt maken had je ook gewoon kunnen mailen en waarschuwen zonder de reset te doen.
Orion84
@mddd12 februari 2020 14:59
Als ze daadwerkelijk zo'n test tegen een p0wned database hadden gedaan, dan hadden ze kunnen volstaan met het resetten en waarschuwen van de gebruikers voor wie ze een match hadden gevonden.

Dat is wat we hier op Tweakers al een paar keer hebben gedaan.

Als elke site bij elke keer dat er verdachte login pogingen zijn, iedereens accounts gaat resetten dan zou iedereen elke dag druk zijn met het instellen van tig nieuwe wachtwoorden 8)7
Het.Draakje
@Orion8412 februari 2020 16:20
Please don't. Ik krijg regelmatig een mailtje dat Tweakers mijn ip-nummer als verdacht aanmeldt. Als ik iedere keer mijn wachtwoord moet resetten, dan blijf ik bezig. :'(

Die ik-ben-geen-robot-captcha's zijn al erg genoeg.
49euro
12 februari 2020 20:39
Ik ben toch wel benieuwd hoe dit nu precies zit. Er zijn geen mogelijkheden om de inlog historie te bekijken en volgens mij heerst er nu veel onduidelijkheid over welke accounts nu wel zijn binnengedrongen en welke niet. Sommige mensen hebben voor een klein fortuin aan kaarten staan bij Ticketmaster en niemand wil bij de deur van een event erachter moeten komen of zijn of haar account gehackt is waarbij kaarten zijn gestolen. Ik vraag me af of Ticketmaster inderdaad de account eigenaren waarbij er is ingebroken op de hoogte stelt en of de desbetreffende kaarten onbruikbaar worden gemaakt. Dit lijkt mij toch wel het minste wat ze kunnen doen in zo'n geval.
TheVMaster
12 februari 2020 13:46
Ik begrijp deze zin niet helemaal in het artikel "opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.". Hoe zou Ticketmaster kunnen weten dat ik een uniek wachtwoord heb gebruikt op hun site?
AuteurXtuv
@TheVMaster12 februari 2020 13:51
Omdat de mail het over "je account" heeft, lijkt die te suggereren dat er ook is ingelogd op accounts van gebruikers die een uniek wachtwoord hebben. Zo lijken veel ontvangers van de e-mail het in ieder geval te interpreteren; blijkt onder andere uit de vele submits die we gekregen hebben en berichten op Twitter.

Tot nog toe is de enige officiële communicatie de e-mail. Ik heb contact opgenomen met Ticketmaster en die komen als het goed is later met antwoord. Vanwege de vele submits hebben we het alvast online gezet.
TheVMaster
@Xtuv12 februari 2020 14:23
Ik lees niet direct in de mail dat het over 'mijn account' gaat. Dit stond er in de mail
Beste klant,

Bij Ticketmaster houden we onze website continue in de gaten zodat afwijkende activiteit snel opvalt. Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset. Zo kunnen wij ervoor zorgen dat je account, je persoonlijke gegevens en tickets van aankomende events veilig blijven.
Ze hebben het over een aantal Ticketmaster accounts. De zin erna zeggen ze inderdaad wel waar je hetzelfde wachtwoord gebruikte.

Hieruit zou je idd kunnen concluderen dat het ook om mijn eigen account zou kunnen gaan en ook ik heb een uniek wachtwoord voor (zowat) iedere site, dus dan heb je gelijk.

Ben wel benieuwd naar de reactie van Ticketmaster overigens...
verstrooid_prof
@TheVMaster12 februari 2020 13:59
de assumptie uit de quote lijkt te zijn dat men een of andere "pwned" site heeft gecrosschecked
Mensen gebruiken helaas vaak dezelfde inloggegevens op veel verschillende websites. Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen.
maar als ook mensen met een uniek wachtwoord, (of zelfs een uniek emailadres) deze mail krijgen, dan wijst het inderdaad op een algemene(re) bulk reset.
TheekAzzaBreek
@verstrooid_prof12 februari 2020 14:45
maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.
Rare opmerking. Hoe zou Ticketmaster kunnen weten of je je wachtwoord ook elders gebruikt?

edit: oeps. Niet nagedacht. :o
Optie twee had ik eigenlijk niet meer voor mogelijk gehouden: dat doe je niet, dat is vragen om ellende. Bron?

[Reactie gewijzigd door TheekAzzaBreek op 12 februari 2020 19:57]

verstrooid_prof
@TheekAzzaBreek12 februari 2020 18:43
hoe?
-> een gelekt paswoord ook door je eigen algoritme halen, en kijken of de hash identiek is?
maar, gezien de ander context: eerder:
-> het opzoeken van dat potentieel gelekte paswoord in de eigen databank waar ze unencrypted, unhashed gestockeerd zijn.
murkienl
@TheVMaster12 februari 2020 13:48
Kunnen ze niet weten lijkt me. Het is dan ook een beetje een "domme" zin als je het mij vraagt.
Skyaero
12 februari 2020 13:45
"Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is, of dat de communicatie onduidelijk is opgesteld."

Ik heb deze email ook ontvangen. Saillant detail, mijn account heeft een email adres dat uniek is (met behulp van een tag). Dit email adres wordt niet buiten Ticketmaster gebruikt.

Dus of Ticketmaster heeft alle wachtwoorden gereset, ook van accounts waar niet op ingelogd is. Of Ticketmaster heeft zelf een lek gehad.
bluefish007
@Skyaero12 februari 2020 13:51
Inmiddels geeft Ticketmaster zelf ook aan dat het alle accounts betreft:
https://twitter.com/Ticke...tatus/1227574832994422787
vanaalten
@bluefish00712 februari 2020 14:08
Dat klopt in elk geval met mijn ervaringen - en anderen hier.
"De mail is een voorzorgsmaatregel. Er zijn op enkele accounts ongewone inlogpogingen ontdekt. De mail is naar alle Ticketmaster accounts gestuurd."
...ongewone inlogpogingen op enkele accounts - is dan ALLE accounts laten resetten niet wat drastisch?

Ik vraag mij af of er hier meer aan de hand is. Ben benieuwd of ik binnenkort spam ga krijgen op een mailadres dat ik (alleen) voor TicketMaster gebruik...
ejaaenh
@vanaalten13 februari 2020 13:15
Ook ik heb de mail gehad. Ik heb ooit een account aangemaakt maar nooit gebruikt en was vergeten dat het bestond.

Nou maak ik voor elke service een account met een uniek e-mailadres aan. Daarnaast heeft elke service een eigen wachtwoord van 19 willekeurige tekens.

Ik verwacht dus niet dat er geprobeerd is met mijn bestaande account in te loggen. Of hackers moeten eerst al alle gebruikersnamen buit gemaakt hebben. Ze hebben in ieder geval niet een gebruikersnaam uit een andere hack gehaald.

Ik besloot meteen mijn account te verwijderen. Blijkt dat je voor het verwijderen van je account terecht kunt op de speciale privacy pagina. Waar staat dat je een verzoek moet indienen onder artikel 17 van de AVG om je account te laten verwijderen. Dat heb ik gedaan maar ik ben benieuwd wat voor smoes ze verzinnen (bewaartermijnen?) om dat niet te hoeven doen.

[Reactie gewijzigd door ejaaenh op 13 februari 2020 14:48]

CyBeRSPiN
@Skyaero12 februari 2020 13:48
Klopt, ik heb meerdere accounts, ook met tags/labels die uniek zijn enkel voor gebruik met Ticketmaster. Op alle accounts kreeg ik dezelfde email.
casapira
12 februari 2020 14:23
Mijn eerste reactie was ook. Alweer?!?
Nu achteraf blijkt dat het om een andere dienst gaat die gehacked is, snap ik de reactie wel, ondanks dat het niet hun fout is.

Ik ben wel benieuwd welke "andere dienst" gehacked is. Iemand enig idee?
mrkoan
@casapira12 februari 2020 14:47
Ze zijn zelf gehacked, is mijn mening, want ik gebruik een uniek e-mailadres dat nooit ergens anders is gebruikt en krijg ook deze mail...
Pimmetje16
@mrkoan12 februari 2020 15:25
De mail komt van ticketmaster. Dat wil nog niet zeggen dat ze gehacked zijn. Waarschijnlijk is er wel data gelekt. Maar dat kan op zoveel manieren.
ImNotnoa
@casapira12 februari 2020 14:39
Waarschijnlijk een paar handen vol aan verschillende sites/databases, dat wordt dan samengevoegd tot één bestand, ergens te koop aangeboden en de koper laat een scriptje los die één voor één de combinaties probeert op sites als tweakers, ticketmaster, hotmail etc...

https://haveibeenpwned.com/

[Reactie gewijzigd door ImNotnoa op 12 februari 2020 14:39]

remy007
12 februari 2020 13:54
Heb de mail ook binnen, ook al heb ik overal, op elke site een ander wachtwoord ingesteld.
Rohem
@remy00712 februari 2020 14:03
Same here. Ook al weet ik vrij zeker dat het een uniek en gegenereerd wachtwoord is. Op zich wel goed dat ze preventief alles resetten.

Edit: Zoals @Hielke Hoeve al aangeeft.. Wel briljant dat je een nieuw 'tijdelijk' wachtwoord krijgt wat je z.s.m. moet wijzigen. En dit wijzigen wordt niet verplicht na de eerste keer inloggen... Hoe slecht wil je het hebben :-(

[Reactie gewijzigd door Rohem op 12 februari 2020 14:05]

remy007
@Rohem12 februari 2020 14:29
Zover ben ik nog niet, wijzigen doe ik alleen thuis (momenteel op werk) ivm Keepass.

Zal het vanavond eens checken of het inderdaad zo moet..
MadEgg
12 februari 2020 13:43
Ik heb deze mail vandaag ook ontvangen. Ik heb een password manager en een random password van 20 karakters die ik nergens anders gebruik. Lijkt me sterk dat die uitgelekt is. Ik krijg het idee dat ze gewoon alles hebben gereset, of in ieder geval kopers van tickets in een bepaalde periode.

Het vervelende van het mailtje vond ik de haast verwijtende toon dat ík mijn wachtwoord elders ook zou gebruiken:
Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.
Kiswum
@MadEgg12 februari 2020 13:55
Mijn laatste ticket is denk ik van 10 jaar geleden, die staat niet eens in het lijstje van "mijn tickets".

Iedereen heeft dus een reset ontvangen.
FairPCsPlease
@Kiswum12 februari 2020 15:08
Ik dacht eerst ook dat het een phishing email was, heb uitgezocht of ik inderdaad een account heb en toen gebeld met Ticketmaster om te vragen of de mail van hen was. Toen zij dat bevestigden, heb ik ingelogd (nadat zij me een nieuw wachtwoord hadden gemaild) en lees daar tot mijn verrassing een postadres waar ik al 10 jaar niet meer woon, zo lang geleden is het dus dat ik het ooit nodig heb gehad.

Helaas kon ik op de site niet terug vinden hoe je een account kunt verwijderen, ze verwijzen naar de pagina "https://www.ticketmaster.nl/privacy?language=nl-nl" als je klikt op de vraag "hoe kan ik mijn account verwijderen?". Toen dus maar een mailtje gestuurd aan privacy@ticketmaster.nl met de vraag mijn account te verwijderen.
Z0di4k
@FairPCsPlease12 februari 2020 16:25
is idd mooie aanleiding om account te verwijderen (less = more), jammer weer helaas van de barriere die weer wordt opgeworpen. Wet en regelgeving weer nodig? :(
wica
@FairPCsPlease12 februari 2020 16:45
Was net naar het zelfde aan het kijken. Dank voor de info.

/edit
Eigenlijk best gek, als je er over na denkt. Dat je niet via hun website kan verwijderen.
Waarom die drempel, van een email sturen?

[Reactie gewijzigd door wica op 12 februari 2020 16:50]

bennie321
@MadEgg12 februari 2020 13:46
Denkt dat het een push bericht is geweest naar iedereen die daar een account heeft. Ik zit namelijk met dezelfde situatie, lastpass 15 willekeurige karakters en mijn wachtwoord is ook gereset. Vind het eigenlijk wel prima geregeld, gewoon iedereens wachtwoord resetten en opnieuw laten instellen om erger te voorkomen.
rickertsnaak
@bennie32112 februari 2020 16:10
Klopt, maar dan dan stuurt men een nieuw tijdelijk wachtwoord simpelweg in plain text via de email. Eigenlijk niet tijdelijk overigens, want het 'tijdelijke' ww hoeft je niet aan te passen.
Mieske666
@MadEgg12 februari 2020 13:47
Hmm dat lees ik niet. Ik lees dat het bij een aantal accounts is waargenomen. Niet dat het bij jouw account is waargenomen.

Wel een erg alles of niets actie van de site. Dat lijkt me niet erg gepast.
MadEgg
@Mieske66612 februari 2020 13:49
Er staat letterlijk: .... tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte. Je wijst persoonlijk naar de geadresseerde, ik in mijn geval. Het had beter kunnen zijn:

mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar gebruikers dezelfde wachtwoorden als bij ticketmaster gebruikten.

Een stuk minder beschuldigend.

[Reactie gewijzigd door MadEgg op 12 februari 2020 13:49]

Tom
@MadEgg12 februari 2020 13:59
Same here. Random wachtwoord dat ik nergens anders gebruik. Ik vond het ook een raar verhaal, de toon van het mailtje helpt daarin niet mee.
Equites
@MadEgg12 februari 2020 14:20
Dat vond ik inderdaad ook een salliant detail, aangezien ik ook een random wachtwoord van de maximale lengte had (waarom zijn deze lengterestricties er überhaupt nog, zeker als de lengte relatief laag is).
In principe is het goed advies natuurlijk, maar dat hadden ze wat vriendelijker kunnen brengen.
wolly_a
12 februari 2020 16:45
Ik heb tig jaar geleden een keer kaartjes besteld bij Ticketmaster en kreeg nu ook die mail. Ik vind het dan ook superstorend dat je tegenwoordig overal meteen een account moet aanmaken als je iets wil bestellen. Dan moet je al die accounts onthouden en periodiek wachtwoorden wijzigen. Het meest storende is dat ik bij Ticketmaster ook nog geen mogelijkheid kan vinden om mijn account compleet te verwijderen.
MSteverink
@wolly_a12 februari 2020 16:50
https://help.ticketmaster...remove-delete-My-Account-
wolly_a
@MSteverink12 februari 2020 17:06
Jup, die pagina ken ik. Daar staat niks waar je wat aan hebt. Ze sturen je naar de privacy pagina, met nog meer niks. Uiteindelijk is er niet een knopje 'Delete mijn account'.
ObsoleteWTF
@wolly_a12 februari 2020 18:12
Klopt, het lijkt er ook op dat iedereen klikt op:
Was this article helpful? NO

Ik heb die gasten nu een mail gestuurd met het verzoek om mijn account te verwijderen..
wolly_a
@ObsoleteWTF12 februari 2020 18:39
Heb ik ook gedaan en bovendien heb ik al mijn gegevens van mijn account vervangen door dummy gegevens.
PKing83
@ObsoleteWTF12 februari 2020 19:31
Aantal gebruikers dat dit nuttig vond: 48 van 1005
And counting 8)7
Dus zo'n 95% van de gebruikers vindt dit waardeloos :(
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee