Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update

Ticketmaster Nederland heeft de wachtwoorden van gebruikersaccounts een reset gegeven nadat de site verdachte inlogpogingen heeft waargenomen. Volgens de dienst werd er mogelijk ingelogd met gegevens die eerder bij een andere dienst zijn uitgelekt.

Verschillende tweakers hebben de e-mail ontvangen en Ticketmaster meldt op Twitter dat de e-mail is gestuurd 'naar ticketkopers'. Het lijkt erop dat de dienst het wachtwoord van alle of in ieder geval veel gebruikers heeft gereset. Ook mensen die wachtwoordmanagers en unieke wachtwoorden gebruiken, hebben de e-mail ontvangen.

In de e-mail schrijft Ticketmaster dat er 'ongewone inlogpogingen' zijn ontdekt bij een aantal accounts. Volgens het bedrijf zijn daarbij mogelijk inloggegevens gebruikt die verkregen zijn via een lek bij een andere dienst. Bedrijven resetten vaker wachtwoorden van gebruikers om die reden, maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.

De e-mail vervolgt: "Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset". Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is of dat de communicatie onduidelijk is opgesteld. Tweakers heeft Ticketmaster om een toelichting gevraagd.

Update, 14:12: Ticketmaster meldt in een reactie op Twitter dat de e-mail naar alle gebruikers is gestuurd.

Door Julian Huijbregts

Nieuwsredacteur

12-02-2020 • 13:39

222 Linkedin

Reacties (222)

Wijzig sortering
Opvallend ook dat ze op eigen site/communicatie aangeven: " klik niet op links...", Vervolgens in eigen mail vrolijk een link toevoegen. Helpt niet echt in onderscheiden van een phising bericht volgens mij
Heb zojuist mijn wachtwoord gereset. Maar daar zaten ook een paar opmerkelijke zaken bij. Ten eerste zat bij de mail van het resetten van het wachtwoord een nieuw wachtwoord in. Dat verdient niet echt de schoonheidsprijs. En daarnaast, het nieuwe wachtwoord wat je opgestuurd krijgt werkt permanent. Het is geen tijdelijk wachtwoord. Je wordt niet gedwongen om een nieuw wachtwoord te maken.

Dat kan ook allemaal wel een klein beetje beter...
Dat hoeft op zich niet. Ze kunnen het wachtwoord aan je mailen voordat het gehashed de database in gaat. Feitenlijk is er dan weinig verschil met een 'lange reset wachtwoord url' en het wachtwoord zo aan je mailen. Beide processen gaan er van uit dat mail een veilig middel is.

Probleem is wel dat het wachtwoord daarna niet aangepast hoeft te worden en dus blijkbaar ook langere tijd gebruikt kan worden. Voor zo'n kort wachtwoord is dat niet goed.
Als het via mail verzonden is ligt het in principe op straat.

Also: oud maar goud: https://www.troyhunt.com/everything-you-ever-wanted-to-know/
"Je Tijdelijke Wachtwoord" staat in de e-mail en "Om veiligheidsredenen adviseren we je het wachtwoord z.s.m. te wijzigen". Het zou inderdaad geen permanent wachtwoord moeten zijn, want het is maar 8 karakters en verzonden via e-mail.
Helemaal mee eens, best apart dat zulke grote organisaties dat toch niet beter begrijpen te implementeren. Uiteraard, het zal best even wat programmeerwerk kosten maar het is niet dat we in 1996 leven ofzo.

[Reactie gewijzigd door gooos op 13 februari 2020 16:35]

Je verwardt grote naam met professionele organisatie. Ik ken ticketmaster omdat ze een lange tijd onbereikbaar waren voor gebruikers met IPv6 omdat in hun DNS een ongeldig AAAA record stond. Daar heb ik ze op geattendeerd en dat duurde maanden voor het hersteld was. Het zijn prutsers.
Ik heb ook een mail van ticketmaster ontvangen, maar daar stond geen tijdelijk wachtwoord in, alleen de instructie hoe ik mijn wachtwoord kon resetten op de website zelf.
Wel even goed lezen: ;)
"...en eerste zat bij de mail van het resetten van het wachtwoord een nieuw wachtwoord in."
Als je dat doet, krijg je een mail met een 'tijdelijk' wachtwoord, wat permanent blijkt te zijn tenzij je het zelf wijzigt. In principe zou direct bij het inloggen met dat wachtwoord om een nieuw wachtwoord gevraagd moeten worden. Het beste zou zijn als deze diensten waar betalingen en creditcard gegevens worden opgeslagen dan direct ook zou checken bij services als haveibeenpawned of die nieuwe combi daar ook niet bekend is.
dus, als je een sterk wachtwoord had is deze nu omgezet naar een zwakke. Als je te weinig op ticketmaster komt dan heb je nu opeens een zwakker account.

Beter was om de accounts te blocken. Bij inlog poging een melding maken dat account ww weggehaald is en dat deze met 'reset wachtwoord' functionaliteit terug gezet kan worden.

De mail had dan hetzelfde kunnen zijn, zonder een 'tijdelijk maar toch niet zo tijdelijk' wachtwoord.
Je krijgt niet automatisch een wachtwoord. In de eerste mail van ticketmaster staat dat je wachtwoord is gereset, maar je hebt in diezelfde mail niet je wachtwoord gekregen. Volgens mij blokkeren ze je account, en kun je vervolgens zelf op de website een nieuw wachtwoord aanvragen. In die tweede mail staat dan je 8 karakter lang wachtwoord in plain text.
Nope, je gaat naar de website, vult je email in bij 'wachtwoord vergeten' en vervolgens krijg je netjes een email met daarin het nieuwe wachtwoord waarmee je kan inloggen. Been there done that, nadat ik de mail binnenkreeg. Zoals @Robkazoe zegt klopt het helemaal. Zo ging het vandaag bij mij ook. Uiteraard daarna wel meteen het wachtwoord weer aangepast.

edit:
Het is maar net hoe je het bericht van @Robkazoe wil lezen. Maar het wachtwoord staat inderdaad niet in de e-mail waarin staat dat er onregelmatigheden waren. MAar dat werd door @Robkazoe ook niet zo bedoeld volgens mij.

[Reactie gewijzigd door 13art op 12 februari 2020 16:28]

In principe zou je wachtwoord in de tussentijd "leeg" kunnen zijn in hun database, waardoor deze niet onveiliger is geworden (helemaal geen login mogelijk) en dat deze pas bij een reset aanvraag wordt gevuld met je tijdelijke wachtwoord, om deze daarna zelf te wijzigen naar iets anders.
Nee, maar ze hebben het wel voor je aangepast staat in die mail, ik mag hopen in iets degelijkers dan een combinatie van 8 letters/cijfers (de gegenereerde die ik kreeg na een reset).

8 tekens is binnen een dag te brute-forcen. Met alleen letters/cijfers mogelijk nog sneller.
Ik zie het nu. Heb zelf ook mail van ze gehad. Dus eerst naar een link. Dan een mail. En dan opnieuw ww resetten. Omslachtige procedure. Waarvoor niet in 1x ww vergeten proces gebruiken?
Dat is inderdaad lekker slecht.
Als mijn mail ook gehackt is doordat ik daarvoor hetzelfde adres gebruik. En ik reset mijn wachtwoord voor Ticketmaster. Kunnen de hackers die mail ook gelijk gebruiken.
Ook dat elk woord met een hoofdletter begint doet denken aan phising.

https://tweakers.net/ext/f/ixiYiVHT61SEtLoGbZTawHuO/full.png

[Reactie gewijzigd door Arnout op 12 februari 2020 15:29]

Ik vind het altijd zo gek dat je een tijdelijk wachtwoord krijgt, waarom niet gelijk een pagina waarop je een nieuw wachtwoord kunt instellen.
Ik heb gelijk maar een iOS 'sterk wachtwoord' laten aanmaken. Wel zo praktisch, is die ook weer wat lastiger.
Sterker dan geen schoonheidsprijs. Regelrechte schande. Dat heet een plaintextoffender.
Ik heb ze daar direct op gewezen.
Effe de tijd geven, maar anders opgeven bij plaintextoffenders.com.
Dat heet een plaintextoffender.
Dat kan je hier niet uit afleiden, je zou verwachten dat dat tijdelijke wachtwoord gegenereerd wordt op het moment dat je de resetaanvraag doet, dan kan deze (gehasht) opgeslagen worden en in plaintext verstuurd worden. Daar is an sich weinig mis mee, dit is niet veel anders dan een resetlink sturen per mail, zolang je verplicht wordt van het tijdelijke wachtwoord aan te passen, enkel wijzen andere hieronder erop dat dit niet verplicht wordt en dat is wel een probleem.
Is daar ook niet een stukje eigen verantwoordelijkheid als er uitdrukkelijk geadviseerd wordt om het wachtwoord aan te passen? Als veiligheid je lief is, volg je dat advies toch gewoon op?
De gegenereerde wachtwoord is de reset e-mail is slechts: 8 karakters. Bij opnieuw instellen is Bovendien 32 karakters de Max lengte. Moest ik mijn generator weer aanpassen, die geeft default 64 lengte.
Ik begrijp die maximale lengte ook nooit voor een password wat toch gehashed gaat worden. Daar zou geen limiet op hoeven zitten.
Als aanvulling: je oude wachtwoord opnieuw gebruiken is ook geen enkel probleem.
Precies dat dacht ik. Met die reden ben ik ook buiten die mail om naar TicketMaster gegaan. Sowieso altijd handig om weer even wachtwoorden te herzien!
Ik heb exact hetzelfde gedaan.
Opende de mail vanaf mijn telefoon, dus dan is het sowieso lastiger om de achterliggende link te checken.
Heb vervolgens zelf de website geopend en daar mijn wachtwoord gereset.
Op android: press & hold link
Op iOS open je dan de link in een tijdelijk venster? Dat lijkt me niet de bedoeling :)
Nee de long press & hold laat je de daadwerkelijke link zien die achter de korte html omschrijving zit. Bij phishing kan je zo makkelijk controleren of de link in de mail van je bank komt of van een ander wazig domein.
Net op mn iphone 8 geprobeerd. Maar zie echt een voorvertoning?
Ik niet. 7 Plus, maar gewoon met laatste iOS versie. Misschien ergens een instelling. Moet apart klikken voor een voorvertoning, zie echt alleen een link vergroot op me scherm staan, met wat opties eronder.
Interesting, zal eens kijken. Thx
Ha, ja zo deed ik het ook.

Chrome maar een nieuw wachtwoord laten voorstellen. Ik weet hem al bijna uit het hoofd...
Ja inderdaad, ik dacht in eerste instantie ook dat het een phishing bericht was door die link.
Dat stoorde mij inderdaad ook al. Ik klik nooit op links in e-mail. In webapplicaties die ik bouw die e-mail verzenden zet ik ook nooit links in de e-mail. Het is algemeen goed gebruik om géén links in e-mail op te nemen, zeker niet als het ook maar iets met authenticatie te maken heeft. Hopelijk wennen gebruikers er dan aan dat ze niet op links moeten klikken maar zélf naar de site moeten navigeren waar ze actie willen ondernemen. Nummer 1 anti-phishing-maatregel.

[Reactie gewijzigd door MadEgg op 12 februari 2020 13:46]

Hulde en inderdaad als alle (grotere, maar ook de kleinere) organisaties het zo zouden doen dan gaan de laatste die het niet zo doen ook een keer overstag en het doet inderdaad het bewustzijn bij de gebruikers naar een hoger niveau tillen.
Nou nee dus. Ze sturen een nieuw (tijdelijk) wachtwoord in plaintext per mail.
Hoe oerstom kun je zijn.
Hun eigen digitale bewustzijn is erg laag.
Wat is er precies zo erg om het wachtwoord plaintext te versturen voor je het versleuteld opslaat in je database?

Als ze toch al in je mail komen kunnen ze ook zelf het wachtwoord resetten?
Ik vind het op zich prima als er een link in een email staat zolang het maar een normale url is die je ook eenvoudig zelf kan invoeren (eg: https://fqdn.ame/login) en ook exact zo in de mail staat. Die onzinnig lange unieke urls naar een pagina waar je niet of heel lastig kan navigeren vanaf de homepage zijn een gruwel ..
Dan heb ik het wel over "rondschrijf emails": het is wat anders bij persoonlijke email op jouw eigen verzoek (eg mail met unieke bevestigingslink na het aanpassen van bijv persoonlijke gegevens: in die gevallen kan een link nuttig zijn.)
Ben zelf geen nl ticketmaster klant, maar wat ik hierboven lees is belooft niet veel goeds: password resetten ok, maar om dan per email het nieuwe ww te sturen wat dan permanent is is volgens mij het eerste hoofdstuk in het boek "hoe verzeker ik mezelf van computer inbraak en verpruts ik het vertrouwen van mijn klanten".... 8)7 |:( 8)7
Edit: zie nu dat "tijdelijke" ww blijkbaar verstuurd wordt nadat je zelf op reset hebt geklikt. Dacht eerst dat het nieuwe we al in de 1e email stond. Nog steeds slecht, maar niet zo extreem als ik eerst dacht.

[Reactie gewijzigd door tonkie_67 op 12 februari 2020 15:38]

Een link kan prima als deze tijdelijk geldig is lijkt me? Bijv ww reset link wat eenmalig gebruikt kan worden? En zo niet na 10 min verloopt?

Qua UX is een link veel fijner dan een link copy pasten. Al snap ik best dat je daar vanuit phishing oogpunt vanaf wil.
Ik kan er overheen kijken, maar waarom hebben mailclients zoals Outlook en Gmail geen optie om links gewoon uit te schakelen?
Van Gmail kan je nog beredeneren dat ze reclamelinks niet willen blokkeren, maar Outlook zou toch moeten kunnen?
Zou meteen het risico op ransomware bij bedrijven kunnen verkleinen. Het is de afweging tussen gemak (je weTransfer link niet meer kunnen gebruiken is lastig) en veiligheid..
Ik denk dat er dan nog steeds hele volksstammen de URL kopieren en in hun browser pasten.
Als je links echt uit wilt schakelen, kan je natuuriijk een of andere veilige, niks-doende executable (evt zelf geschreven) als browser opgeven.
Ik vond het inderdaad ook vreemd, dus heb ze via hun eigen contact formulier gemeld dat ik het niet vertrouwde. Vervolgens binnen mijn account het wachtwoord aangepast.
En wat al helemaal niet helpt, om een (tijdelijk) wachtwoord per email naar de klanten te sturen.
Werk dan gewoon met een linkje en een token dat tijdelijk geldig is.
En dan is dit nog van een Ticket bedrijfje. Ik verbaas mij helemaal dat banken dit doen. In hun email communicatie barst het van de links.
Dat was precies mijn gedachte.
Ik heb de URL ook maar gewoon even handmatig ingetikt, want ik gebruik die site al jaren niet meer en nu opeens een login issue....
Precies vanwege dit heb ik hem (de e-mail) genegeerd, maar als T.net persoonlijk contact heeft gehad zal ik hem dan toch maar gaan resetten.

Overigens is het handigste om uberhaubt je oude wachtwoord niet in te voeren (ivm mogelijke phishing) en meteen e-mail (hebben ze toch al) en "vraag nieuw wachtwoord aan" aan te klikken, mocht je eenzelfde wachtwoord op meerdere sites gebruilken (nooit doen!), dan werkt het ook gewoon, en krijg je een tijdelijk wachtwoord toegestuurd , en kan je een nieuw (anders dan je oude!) wachtwoord instellen.

[Reactie gewijzigd door zion op 12 februari 2020 16:16]

Even voor de duidelijkheid. Ik heb geen e-mail van Ticketmasters ontvangen. Ik gebruikte ticketmasters ook niet (nooit gebruikt) alhoewel ik wel een account heb. Ik heb voor de zekerheid zelf een reset van het wachtwoord gedaan en een nieuw ingesteld. (het was al een uniek wachtwoord voorheen).

Ik meld dit omdat er onduidelijkheid schijnt te zijn of alle mensen bij ticketmaster.nl deze mail hebben gekregen en dat is dus iig niet zo. Wellicht alleen mensen die inderdaad ticketmasters hebben gebruikt in een bepaalde periode.

Ik heb overigens ze verzocht mijn account te verwijderen.

/Edit; Ik heb nu de e-mail ontvangen welke hier wordt genoemd. Ik vermoed dat ik ze voor was met de mail toen ik mijn reset deed aanvragen. Ik heb natuurlijk niet op de link van die e-mail geklikt uit voorzorg.

[Reactie gewijzigd door Auredium op 12 februari 2020 18:24]

De mail in kwestie:
Beste klant,

Bij Ticketmaster houden we onze website continue in de gaten zodat afwijkende activiteit snel opvalt. Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset. Zo kunnen wij ervoor zorgen dat je account, je persoonlijke gegevens en tickets van aankomende events veilig blijven.

Wat nu?
Via de website van Ticketmaster kan je een nieuw tijdelijk wachtwoord aanvragen. Klik rechtsboven op ‘Log in/registreer’ en reset hier je wachtwoord. Je ontvangt dan een tijdelijk wachtwoord per mail. Wij adviseren om dan direct je wachtwoord weer te wijzigen naar een zelfgekozen wachtwoord, welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden. Je kan dit doen zodra je bent ingelogd in je account met je tijdelijke wachtwoord, onder ‘Mijn profiel’ en vervolgens ‘Bewerk contactgegevens’.

Wat is er gebeurd?
Mensen gebruiken helaas vaak dezelfde inloggegevens op veel verschillende websites. Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen.

We vinden het erg belangrijk dat jouw persoonlijke gegevens veilig zijn, en blijven. Wil je daar meer over weten? Check dan onze privacy pagina.

Vriendelijke groeten,
Team Ticketmaster
Ik heb dezelfde e-mail ontvangen. Toen ik vervolgens een nieuw wachtwoord aanvroeg werd dit wachtwoord per e-mail toegezonden. Beetje jammer.
dat is heel normaal, welk ander kanaal dat zij al kennen kunnen ze anders gebruiken? security question doen ze niet aan
Als ik op bv. Tweakers mijn wachtwoord vergeten ben krijg ik nooit een plain text wachtwoord toegestuurd, maar moet ik via een reset linkje een nieuw wachtwoord invoeren.
Als het wachtwoord een tijdelijke one-time use is, dan is er weinig verschil tussen een linkje die je niet moet laten uitlekken, of een wachtwoord die je niet moet laten uitlekken.
Als het wachtwoord een tijdelijke one-time use is
Maar dat is bij Ticketmaster dus niet het geval: ik heb daarnet meerdere keren met het zogenaamde tijdelijke wachtwoord kunnen inloggen.
Dat is dan een verkeerde implementatie, en zou het equivalent zijn van een link die je meerdere keren kan openen. Maar an sich het plain-text vermelden is niet wezenlijk onveiliger dan de one-time link.
Ze hadden een URL met daarin een token kunnen geven die tijdelijk geldig is. Vervolgens kun je daarna via de site het nieuwe wachtwoord instellen. Doe je namelijk niets, dan blijft dit "tijdelijke" wachtwoord ingesteld staan zover ik weet.

Een wachtwoord in plain text - ook al is het een tijdelijke - over de lijn gooien is gewoon het domste wat je kan doen.

[Reactie gewijzigd door CH4OS op 12 februari 2020 15:20]

Maar als een mailtje met het tijdelijke wachtwoord onderschept kan worden, dan geldt dat toch ook voor een mailtje met daarin een URL met token? In beide gevallen kan een kwaadwillige het wachtwoord wijzigen.
Met als verschil dat je in het ene geval meer tijd hebt (tijd tussen mail onderschepping en potentiele inlog). De tijdelijke link zal altijd verlopen.

Zodra iemand je mail kan lezen is het afgelopen. Maar daar hebben we het nu niet over.
Maar een tijdelijk wachtwoord kun je natuurlijk ook laten verlopen. Ik heb echter geen idee of dat in dit geval ook zo is.
Maar als een mailtje met het tijdelijke wachtwoord onderschept kan worden, dan geldt dat toch ook voor een mailtje met daarin een URL met token? In beide gevallen kan een kwaadwillige het wachtwoord wijzigen.
Dat zeker, maar is er geen wachtwoord over de lijn gegaan, die heb je als gebruiker dan zelf in te stellen. Nu wordt het direct open en bloot gegooid, je hoeft er geen verdere moeite voor te doen.
Al opgevallen dat ze de mail gewoon TLS encrypted versturen? Niets plain text aan dus tenzij iemand zo dom is om in deze tijd TLS mail niet te ondersteunen als ontvangende partij :)
Ik bedoelde het niet zozeer op die manier. Ik mag hopen dat eea via TLS verstuurd wordt anno 2020. Maar dat betekend niet dat het dan opeens verstandig is om het wachtwoord überhaupt in een e-mail te zetten (en dat bedoelde ik met plain text en over de lijn gooien). Je weet niet hoeveel mensen erbij kunnen bijvoorbeeld en een wachtwoord is wel degelijk een persoonlijk iets. ;)

Of schrijf jij jouw wachtwoorden ook op een briefje naast de computer? ;)

Overigens is bij een via TLS verstuurde verbinding de e-mail zelf niet per se versleuteld, daar zijn andere standaarden voor, zoals GPG of PGP.

[Reactie gewijzigd door CH4OS op 13 februari 2020 09:59]

Wat ze doen verdient niet de schoonheidsprijs. Ik vond het ook raar een wachtwoord te ontvangen, ermee in te moeten loggen en vervolgens te moeten zoeken naar waar ik het in godsnaam kon veranderen.

Dan de 32 karakter limiet ook niet nodig in mijn ogen. En nee ik laat door enpass gewoon wachtwoorden genereren hoor :Y) Zo bepaal ik ook zelf waar ik mijn vault bewaar en ook die is afgeschermd met een zeer sterk wachtwoord wat ik uit mijn hoofd ken. ((Hoofd)letters, cijfers, leestekens)

Gpg gebruik ik inderdaad ook maar dat is toch vaak te complex voor huis tuin en keuken gebruikers en bedoeld om de content van de mail te encrypten zodat degene die in beheer is van een mailservers de mail niet kan lezen. Tot dat eindstation is de mail wel degelijk encrypted tijdens transport en kan niemand de inhoud lezen. Het is dus net zo veilig als inloggen op een website want daar kan een beheerder ook prima je wachtwoord onderscheppen zodra het verkeer de load balancer gepasseerd heeft en het request http naar een webserver gaat.
Gelukkig maar, want het is vrij makkelijk om (als voorbeeld) te achterhalen dat jouw favoriete dier een uil is.

De antwoorden op dat soort vragen zijn vaak, zeker als je iemand kunt aanspreken, bijzonder makkelijk en zonder enige achterdocht van 'het slachtoffer' te achterhalen en dragen in veel gevallen dus niet bij aan de veiligheid.
yes, daarom is het beter om daar of bullshit in te vullen (maar dan raak je deze herstelmogelijkheid kwijt), of de antwoorden op de security questions random te genereren en (ook) op te slaan in een password manager
Nee dat is niet normaal. Normaal is dat je een éénmalig bruikbare token (evt in de vorm van een URL) naar het e-mail adres stuurt, dat gebruikt kan worden om een nieuw wachtwoord in te stellen.

Het wachtwoord zelf opsturen doe je NOOIT.
Dat kan wel zijn, maar ik heb ze toch een mail gestuurd. Normaliter komt email van ticketmaster.nl en nu kwam het van email.ticketmaster.nl... ik dacht in eerste instantie ook dat het om phishing ging..
Normaal? Omdat er meer zijn die dat doen?
Het is schandalig slecht. Zoek eens op de term plaintextoffender.
Waarom? Of ze nou een wachtwoord sturen, of een linkje, het maakt niet uit.
En je maakt natuurlijk meteen een nieuw wachtwoord aan, dus er is helemaal geen issue.
Drukte om niets...

Overigens heb ik ook een nieuw wachtwoord aangevraagd, maar deze werkt niet.
Ik kan mij herinneren wel vaker inlogproblemen te hebben gehad, zeker op mijn Android telefoon.
Tijd voor een redesign?
Dat maakt dus wel degelijk uit. Er is dus wel degelijk een issue. Geen drukte om niets.
Ga je inlezen over dit soort onveilig gedrag en herzie je commentaar.
dat maakt dus helemaal niets uit, maar wat wel uitmaakt is dat het door hen verstuurde 'tijdelijke' password helemaal niet een time-limited one-time use password is. En dat is dus de fout die ticket-master maakt. Een soortgelijke fout kunnen ze net zo makkelijk maken met een token-based URL.

tijdelijk wachtwoord of link token maakt niet uit... het gaat om het tijdelijk & one-time use van het secret dat in de mail verstuurd wordt
Dat is een tijdelijk wachtwoord waarna het de bedoeling is dat je vervolgens een nieuwe aanmaakt.
Je kan er nooit van uitgaan dat mensen hun tijdelijk wachtwoord netjes aanpassen.
Je kan makkelijk forceren dat bij de eerste login het wachtwoord gewijzigd moet worden voordat je iets anders kan doen.
En hoe forceer je gebruikers dat ze de eerste keer inloggen? Tot die tijd is er wel een tijdelijk wachtwoord ingesteld dat plain text over het Internet is gegaan.
Tot die tijd is er wel een tijdelijk wachtwoord ingesteld dat plain text over het Internet is gegaan.
Dat is natuurlijk niet helemaal waar, aangezien vrijwel alle email aanbieders geen plain SMTP meer gebruiken maar SMTP over TLS. Ook Ticketmaster gebruikt SMTPS, dat is in Gmail duidelijk te zien.

Desalnietemin heb je in principe natuurlijk gelijk en is de procedure die Ticketmaster hier hanteert niet erg veilig te noemen.
Het alternatief is dat ze in plaats van een tijdelijk wachtwoord dat een link sturen om een nieuw wachtwoord in te stellen. Die link gaat ook over e-mail dus als iemand e-mail kan onderschappen, kan die ook de link onderscheppen :-)
Zo'n link is alleen (hopelijk) tijdelijk geldig. Als ik nu een berg e-mail adressen invoer heb ik daarmee direct voor die adressen hun wachtwoord gereset naar iets anders.
als gebruikers niet op de eerste mail reageren/actie ondernemen is er niks aan de hand; dan is er geen wachtwoord verstuurd:
Wat nu?
Via de website van Ticketmaster kan je een nieuw tijdelijk wachtwoord aanvragen. Klik rechtsboven op ‘Log in/registreer’ en reset hier je wachtwoord. Je ontvangt dan een tijdelijk wachtwoord per mail. Wij adviseren om dan direct je wachtwoord weer te wijzigen naar een zelfgekozen wachtwoord, welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden
het vereist dus al actie van een gebruiker om een nieuw wachtwoord te krijgen, de kans dat de gebruiker dan niet doorgaat is minimaal.. (kans is uiteraard aanwezig, maar zelden zal iemand een nieuw wachtwoord aanvragen en daar niet mee inloggen)
True, maar voor zover ik kan zien doet Ticketmaster dat helemaal niet.
Je kan makkelijk forceren dat bij de eerste login het wachtwoord gewijzigd moet worden voordat je iets anders kan doen.
dat kan ja, maar dat doet ticketmaster niet
@i2Paq Volgens mij is het gewoon een permanent wachtwoord, ik zag in ieder geval nergens een verloopdatum genoemd worden.
In mijn mailtje staat toch echte "tijdelijk" ;)
Er staat ook in de mail dat het een tijdelijk wachtwoord is dat zo snel mogelijk aangepast moet worden.

Maar goed, blijft e-mail...
Het is vooral jammer dat ze na het inloggen met je tijdelijke wachtwoord, je toch even moet zoeken om het aan te passen, met het gevolg dat niemand dat bijna doet.
Dit is 'm inderdaad, ik had precies dezelfde. Heel even dacht ik dat het een phishing-mail was omdat ik Ticketmaster nagenoeg nooit gebruik, maar het was inderdaad een echte.

Gelijk even het wachtwoord gereset, maar ik moet zeggen dat ze bij Ticketmaster snel gehandeld lijken te hebben. Niks geen "onder de pet"-houding, maar wachtwoord resetten en een redelijk uitgebreid mailtje er achter aan.
Maar de grote vraag is; zijn ze ingelogd op mijn account en hebben ze kaarten gedownload? Heb nog een aantal 3 dagenkaarten en een zaterdag kaart voor North Sea Jazz 2020 erin staan. Moet ik nu maanden mezelf afvragen of ik straks geweigerd word tijdens het evenement? En lekkere handel in kaarten op deze manier.
Heb ook inderdaad unieke adressen, dit was overigens zolang geleden dat het op een oud mail adres was. Maar een reset maakt toch niet veel uit? Als ze een database hebben en dus automatisch proberen in te loggen is een overeenkomend wachtwoord niet relevant voor de activiteit die ze bij het inloggen zien? Aangezien het mailadres voor veruit de meeste mensen niet uniek is.
Niks geen "onder de pet"-houding, maar wachtwoord resetten en een redelijk uitgebreid mailtje er achter aan.

Ik zie dat anders. Ik weet nog steeds niet wat de aanleiding is voor het resetten van mijn wachtwoord. Zijn ze gehackt? Hoe hadden ze mijn wachtwoord versleuteld? Stappen ze over op een veiliger password hashing systeem?
Heb de mail ook ontvangen, maar gebruik naast unieke wachtwoorden ook op veel plekken (waaronder Ticketmaster) unieke emailadressen...
Ik ontving hem ook, maar las hem eerst op de telefoon terwijl ik aan het werk was en had zoiets van "ja, ja, daar kijk ik thuis nog wel eens naar als ik de headers goed kan zien.
Het had net zo goed een phishingmail kunnen zijn namelijk.

Het lijkt er inderdaad op dat deze mail naar iedereen is gestuurd, aangezien mijn wachtwoord wel degelijk uniek was.
welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden
[...]
Mij viel bovenstaande meteen op in de mail. Als ik dat lees denk ik aan gedeelten van wachtwoorden, niet hele wachtwoorden. Hoe kan zoiets überhaupt worden gecontroleerd? Aannemend dat wachtwoorden niet in een ontsleutelbare vorm worden opgeslagen.

Het enige dat ik kan verzinnen is om gedeelten van wachtwoorden óók te hashen en die naast de volledige hash op te slaan. Maar volgens mij vergroot je daarmee alleen het aanvalsoppervlak.

Ik denk vast te ver door - ze checken zeker alleen gehele gebruikte wachtwoorden.
Dit is wel een beetje een gekke situatie. Ik zie niet echt in waarom een bedrijf gebruikers verplicht om wachtwoorden te veranderen wanneer ANDERE sites lekken hebben gehad. Dan kun je immers wel bezig blijven!

Het enige wat ik me zou kunnen voorstellen is dat ze hun wachtwoorden-database hebben getest tegen een externe 'p0wned' achtige database, en erachter kwamen dat er wel veel dubbelingen in zaten. Maar dat bewijst dus enkel dat hun gebruikers dus doorsnee mensen zijn die geen unieke passwords gebruiken.

Aan de ene kant goed dat een bedrijf actie onderneemt voor de veiligheid, aan de andere kant vind ik dit behoorlijk ingrijpend (gedwongen reset). Als je mensen bewuster wilt maken had je ook gewoon kunnen mailen en waarschuwen zonder de reset te doen.
Als ze daadwerkelijk zo'n test tegen een p0wned database hadden gedaan, dan hadden ze kunnen volstaan met het resetten en waarschuwen van de gebruikers voor wie ze een match hadden gevonden.

Dat is wat we hier op Tweakers al een paar keer hebben gedaan.

Als elke site bij elke keer dat er verdachte login pogingen zijn, iedereens accounts gaat resetten dan zou iedereen elke dag druk zijn met het instellen van tig nieuwe wachtwoorden 8)7
Please don't. Ik krijg regelmatig een mailtje dat Tweakers mijn ip-nummer als verdacht aanmeldt. Als ik iedere keer mijn wachtwoord moet resetten, dan blijf ik bezig. :'(

Die ik-ben-geen-robot-captcha's zijn al erg genoeg.
Ik ben toch wel benieuwd hoe dit nu precies zit. Er zijn geen mogelijkheden om de inlog historie te bekijken en volgens mij heerst er nu veel onduidelijkheid over welke accounts nu wel zijn binnengedrongen en welke niet. Sommige mensen hebben voor een klein fortuin aan kaarten staan bij Ticketmaster en niemand wil bij de deur van een event erachter moeten komen of zijn of haar account gehackt is waarbij kaarten zijn gestolen. Ik vraag me af of Ticketmaster inderdaad de account eigenaren waarbij er is ingebroken op de hoogte stelt en of de desbetreffende kaarten onbruikbaar worden gemaakt. Dit lijkt mij toch wel het minste wat ze kunnen doen in zo'n geval.
Ik begrijp deze zin niet helemaal in het artikel "opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.". Hoe zou Ticketmaster kunnen weten dat ik een uniek wachtwoord heb gebruikt op hun site?
Omdat de mail het over "je account" heeft, lijkt die te suggereren dat er ook is ingelogd op accounts van gebruikers die een uniek wachtwoord hebben. Zo lijken veel ontvangers van de e-mail het in ieder geval te interpreteren; blijkt onder andere uit de vele submits die we gekregen hebben en berichten op Twitter.

Tot nog toe is de enige officiële communicatie de e-mail. Ik heb contact opgenomen met Ticketmaster en die komen als het goed is later met antwoord. Vanwege de vele submits hebben we het alvast online gezet.
Ik lees niet direct in de mail dat het over 'mijn account' gaat. Dit stond er in de mail
Beste klant,

Bij Ticketmaster houden we onze website continue in de gaten zodat afwijkende activiteit snel opvalt. Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset. Zo kunnen wij ervoor zorgen dat je account, je persoonlijke gegevens en tickets van aankomende events veilig blijven.
Ze hebben het over een aantal Ticketmaster accounts. De zin erna zeggen ze inderdaad wel waar je hetzelfde wachtwoord gebruikte.

Hieruit zou je idd kunnen concluderen dat het ook om mijn eigen account zou kunnen gaan en ook ik heb een uniek wachtwoord voor (zowat) iedere site, dus dan heb je gelijk.

Ben wel benieuwd naar de reactie van Ticketmaster overigens...
de assumptie uit de quote lijkt te zijn dat men een of andere "pwned" site heeft gecrosschecked
Mensen gebruiken helaas vaak dezelfde inloggegevens op veel verschillende websites. Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen.
maar als ook mensen met een uniek wachtwoord, (of zelfs een uniek emailadres) deze mail krijgen, dan wijst het inderdaad op een algemene(re) bulk reset.
maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.
Rare opmerking. Hoe zou Ticketmaster kunnen weten of je je wachtwoord ook elders gebruikt?

edit: oeps. Niet nagedacht. :o
Optie twee had ik eigenlijk niet meer voor mogelijk gehouden: dat doe je niet, dat is vragen om ellende. Bron?

[Reactie gewijzigd door TheekAzzaBreek op 12 februari 2020 19:57]

hoe?
-> een gelekt paswoord ook door je eigen algoritme halen, en kijken of de hash identiek is?
maar, gezien de ander context: eerder:
-> het opzoeken van dat potentieel gelekte paswoord in de eigen databank waar ze unencrypted, unhashed gestockeerd zijn.
Kunnen ze niet weten lijkt me. Het is dan ook een beetje een "domme" zin als je het mij vraagt.
"Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is, of dat de communicatie onduidelijk is opgesteld."

Ik heb deze email ook ontvangen. Saillant detail, mijn account heeft een email adres dat uniek is (met behulp van een tag). Dit email adres wordt niet buiten Ticketmaster gebruikt.

Dus of Ticketmaster heeft alle wachtwoorden gereset, ook van accounts waar niet op ingelogd is. Of Ticketmaster heeft zelf een lek gehad.
Inmiddels geeft Ticketmaster zelf ook aan dat het alle accounts betreft:
https://twitter.com/Ticke...tatus/1227574832994422787
Dat klopt in elk geval met mijn ervaringen - en anderen hier.
"De mail is een voorzorgsmaatregel. Er zijn op enkele accounts ongewone inlogpogingen ontdekt. De mail is naar alle Ticketmaster accounts gestuurd."
...ongewone inlogpogingen op enkele accounts - is dan ALLE accounts laten resetten niet wat drastisch?

Ik vraag mij af of er hier meer aan de hand is. Ben benieuwd of ik binnenkort spam ga krijgen op een mailadres dat ik (alleen) voor TicketMaster gebruik...
Ook ik heb de mail gehad. Ik heb ooit een account aangemaakt maar nooit gebruikt en was vergeten dat het bestond.

Nou maak ik voor elke service een account met een uniek e-mailadres aan. Daarnaast heeft elke service een eigen wachtwoord van 19 willekeurige tekens.

Ik verwacht dus niet dat er geprobeerd is met mijn bestaande account in te loggen. Of hackers moeten eerst al alle gebruikersnamen buit gemaakt hebben. Ze hebben in ieder geval niet een gebruikersnaam uit een andere hack gehaald.

Ik besloot meteen mijn account te verwijderen. Blijkt dat je voor het verwijderen van je account terecht kunt op de speciale privacy pagina. Waar staat dat je een verzoek moet indienen onder artikel 17 van de AVG om je account te laten verwijderen. Dat heb ik gedaan maar ik ben benieuwd wat voor smoes ze verzinnen (bewaartermijnen?) om dat niet te hoeven doen.

[Reactie gewijzigd door ejaaenh op 13 februari 2020 14:48]

Klopt, ik heb meerdere accounts, ook met tags/labels die uniek zijn enkel voor gebruik met Ticketmaster. Op alle accounts kreeg ik dezelfde email.
Mijn eerste reactie was ook. Alweer?!?
Nu achteraf blijkt dat het om een andere dienst gaat die gehacked is, snap ik de reactie wel, ondanks dat het niet hun fout is.

Ik ben wel benieuwd welke "andere dienst" gehacked is. Iemand enig idee?
Ze zijn zelf gehacked, is mijn mening, want ik gebruik een uniek e-mailadres dat nooit ergens anders is gebruikt en krijg ook deze mail...
De mail komt van ticketmaster. Dat wil nog niet zeggen dat ze gehacked zijn. Waarschijnlijk is er wel data gelekt. Maar dat kan op zoveel manieren.
Waarschijnlijk een paar handen vol aan verschillende sites/databases, dat wordt dan samengevoegd tot één bestand, ergens te koop aangeboden en de koper laat een scriptje los die één voor één de combinaties probeert op sites als tweakers, ticketmaster, hotmail etc...

https://haveibeenpwned.com/

[Reactie gewijzigd door ImNotnoa op 12 februari 2020 14:39]

Heb de mail ook binnen, ook al heb ik overal, op elke site een ander wachtwoord ingesteld.
Same here. Ook al weet ik vrij zeker dat het een uniek en gegenereerd wachtwoord is. Op zich wel goed dat ze preventief alles resetten.

Edit: Zoals @Hielke Hoeve al aangeeft.. Wel briljant dat je een nieuw 'tijdelijk' wachtwoord krijgt wat je z.s.m. moet wijzigen. En dit wijzigen wordt niet verplicht na de eerste keer inloggen... Hoe slecht wil je het hebben :-(

[Reactie gewijzigd door Rohem op 12 februari 2020 14:05]

Zover ben ik nog niet, wijzigen doe ik alleen thuis (momenteel op werk) ivm Keepass.

Zal het vanavond eens checken of het inderdaad zo moet..
Ik heb deze mail vandaag ook ontvangen. Ik heb een password manager en een random password van 20 karakters die ik nergens anders gebruik. Lijkt me sterk dat die uitgelekt is. Ik krijg het idee dat ze gewoon alles hebben gereset, of in ieder geval kopers van tickets in een bepaalde periode.

Het vervelende van het mailtje vond ik de haast verwijtende toon dat ík mijn wachtwoord elders ook zou gebruiken:
Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.
Mijn laatste ticket is denk ik van 10 jaar geleden, die staat niet eens in het lijstje van "mijn tickets".

Iedereen heeft dus een reset ontvangen.
Ik dacht eerst ook dat het een phishing email was, heb uitgezocht of ik inderdaad een account heb en toen gebeld met Ticketmaster om te vragen of de mail van hen was. Toen zij dat bevestigden, heb ik ingelogd (nadat zij me een nieuw wachtwoord hadden gemaild) en lees daar tot mijn verrassing een postadres waar ik al 10 jaar niet meer woon, zo lang geleden is het dus dat ik het ooit nodig heb gehad.

Helaas kon ik op de site niet terug vinden hoe je een account kunt verwijderen, ze verwijzen naar de pagina "https://www.ticketmaster.nl/privacy?language=nl-nl" als je klikt op de vraag "hoe kan ik mijn account verwijderen?". Toen dus maar een mailtje gestuurd aan privacy@ticketmaster.nl met de vraag mijn account te verwijderen.
is idd mooie aanleiding om account te verwijderen (less = more), jammer weer helaas van de barriere die weer wordt opgeworpen. Wet en regelgeving weer nodig? :(
Was net naar het zelfde aan het kijken. Dank voor de info.

/edit
Eigenlijk best gek, als je er over na denkt. Dat je niet via hun website kan verwijderen.
Waarom die drempel, van een email sturen?

[Reactie gewijzigd door wica op 12 februari 2020 16:50]

Denkt dat het een push bericht is geweest naar iedereen die daar een account heeft. Ik zit namelijk met dezelfde situatie, lastpass 15 willekeurige karakters en mijn wachtwoord is ook gereset. Vind het eigenlijk wel prima geregeld, gewoon iedereens wachtwoord resetten en opnieuw laten instellen om erger te voorkomen.
Klopt, maar dan dan stuurt men een nieuw tijdelijk wachtwoord simpelweg in plain text via de email. Eigenlijk niet tijdelijk overigens, want het 'tijdelijke' ww hoeft je niet aan te passen.
Hmm dat lees ik niet. Ik lees dat het bij een aantal accounts is waargenomen. Niet dat het bij jouw account is waargenomen.

Wel een erg alles of niets actie van de site. Dat lijkt me niet erg gepast.
Er staat letterlijk: .... tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte. Je wijst persoonlijk naar de geadresseerde, ik in mijn geval. Het had beter kunnen zijn:

mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar gebruikers dezelfde wachtwoorden als bij ticketmaster gebruikten.

Een stuk minder beschuldigend.

[Reactie gewijzigd door MadEgg op 12 februari 2020 13:49]

Same here. Random wachtwoord dat ik nergens anders gebruik. Ik vond het ook een raar verhaal, de toon van het mailtje helpt daarin niet mee.
Dat vond ik inderdaad ook een salliant detail, aangezien ik ook een random wachtwoord van de maximale lengte had (waarom zijn deze lengterestricties er überhaupt nog, zeker als de lengte relatief laag is).
In principe is het goed advies natuurlijk, maar dat hadden ze wat vriendelijker kunnen brengen.
Ik heb tig jaar geleden een keer kaartjes besteld bij Ticketmaster en kreeg nu ook die mail. Ik vind het dan ook superstorend dat je tegenwoordig overal meteen een account moet aanmaken als je iets wil bestellen. Dan moet je al die accounts onthouden en periodiek wachtwoorden wijzigen. Het meest storende is dat ik bij Ticketmaster ook nog geen mogelijkheid kan vinden om mijn account compleet te verwijderen.
Jup, die pagina ken ik. Daar staat niks waar je wat aan hebt. Ze sturen je naar de privacy pagina, met nog meer niks. Uiteindelijk is er niet een knopje 'Delete mijn account'.
Klopt, het lijkt er ook op dat iedereen klikt op:
Was this article helpful? NO

Ik heb die gasten nu een mail gestuurd met het verzoek om mijn account te verwijderen..
Heb ik ook gedaan en bovendien heb ik al mijn gegevens van mijn account vervangen door dummy gegevens.
Aantal gebruikers dat dit nuttig vond: 48 van 1005
And counting 8)7
Dus zo'n 95% van de gebruikers vindt dit waardeloos :(
1 2 3 ... 6


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True