Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update

Ticketmaster Nederland heeft de wachtwoorden van gebruikersaccounts een reset gegeven nadat de site verdachte inlogpogingen heeft waargenomen. Volgens de dienst werd er mogelijk ingelogd met gegevens die eerder bij een andere dienst zijn uitgelekt.

Verschillende tweakers hebben de e-mail ontvangen en Ticketmaster meldt op Twitter dat de e-mail is gestuurd 'naar ticketkopers'. Het lijkt erop dat de dienst het wachtwoord van alle of in ieder geval veel gebruikers heeft gereset. Ook mensen die wachtwoordmanagers en unieke wachtwoorden gebruiken, hebben de e-mail ontvangen.

In de e-mail schrijft Ticketmaster dat er 'ongewone inlogpogingen' zijn ontdekt bij een aantal accounts. Volgens het bedrijf zijn daarbij mogelijk inloggegevens gebruikt die verkregen zijn via een lek bij een andere dienst. Bedrijven resetten vaker wachtwoorden van gebruikers om die reden, maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.

De e-mail vervolgt: "Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset". Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is of dat de communicatie onduidelijk is opgesteld. Tweakers heeft Ticketmaster om een toelichting gevraagd.

Update, 14:12: Ticketmaster meldt in een reactie op Twitter dat de e-mail naar alle gebruikers is gestuurd.

Door Julian Huijbregts

Nieuwsredacteur

12-02-2020 • 13:39

222 Linkedin

Reacties (222)

Wijzig sortering
Briljant dat wanneer je een wachtwoord reset aanvraagt je een tijdelijk wachtwoord via de e-mail krijgt. Kunnen die mensen dan helemaal niks? Snappen ze wel wat veilig is?
Ik ben wel benieuwd naar bronnen die bewijzen dat het inherent onveilig is om wachtwoorden over de mail te sturen. Natuurlijk lijkt het niet handig en lees je veel verhalen hoe onveilig het wel niet is, maar ik lees nooit verhalen dat dit de oorzaak van een lek was. Zo onveilig is het dus blijkbaar niet in de praktijk.
Wachtwoorden per email is op zich geen ramp. Het wordt pas een probleem als die wachtwoorden niet verlopen. Email wordt namelijk vaak ergens opgeslagen, tegenwoordig heel vaak tot in eeuwigheid op de mailserver, met heel handig, het emailadres dat als inlognaam gebruikt wordt er direct naast.

Dit geval is voor het eerst in jaren dat ik een permanent wachtwoord per email krijg, dus de meeste systeemontwerpers hebben dat goed door. Daarom, en omdat zo'n lek heel klein (een enkel account van de site per lek) zou zijn, lees je het niet veel.
Wat @Bacchus zegt.
Daarnaast is e-mail ansich onveilig omdat het routeren van e-mail via onbeveiligde servers mag gaan. Bovendien kan iedereen zich voordoen als iemand anders wanneer niet de juiste beveiliging instellingen zijn toegepast (dmarc spf ...).
Eens hoor, maar het valt me op dat ik nergens het bewijs vind dat het een zwakke plek is. Whatever the reason.

Het lijkt meer een rationele mening als dat het echt een zwakte is.

[Reactie gewijzigd door Henrikop op 13 februari 2020 08:16]

Je leest ook nergens wat de reden is van een auto ongeluk. Niemand weet of het komt door een menselijke fout of een kapotte remkabel. Zoveel detail in een nieuws artikel is blijkbaar niet interessant genoeg.

Feit blijft dat iemand een mailserver kan hacken, via wat voor weg dan ook, e-mail kan afluisteren (om geen argwaan te wekken zodat de gebruiker tickets blijft kopen) en de wachtwoorden oneindig kan blijven gebruiken.

Een wachtwoord reset is nooit waterdicht, maar je kan het wel lastiger maken voor een hacker. Daarom is het nuttig dat je een tijdelijk wachtwoord of code ontvangt die je gebruikt om zelf een wachtwoord in te stellen. Je moet dan natuurlijk vervolgens wel een e-mail krijgen dat je wachtwoord is aangepast zodat je weet dat dit is gebeurd in het geval iemand met je account aan de haal gaat.

Een multi factor systeem maakt het pas echt af. Maar de meeste bedrijven komen niet verder dan je wachtwoord plak text opslaan want "hashing is encryptie en kost duur".
Okee, hier is een brainteaser...

Meer dan 90% van de gebruikers heeft geen wachtwoord manager. Nu gebruikt een redelijk deel wel van de gebruikers het opslaan van wachtwoorden door de browser... maar verzinnen ze het wachtwoord nog wel zelf... Een serieus percentage van de mensen kiezen een wachtwoord welke ze al vaker gebruikt hebben.

Mijn punt: De kans is groot dat een wachtwoord uitgegeven door een dienst per e-mail veiliger is dan het wachtwoord wat door de gebruiker is ingesteld... Let that sink in...
Mooie teaser. Zeker waar.

Daar heeft geen enkele dienstverlener grip op. Waar ze wel grip op heeft is haar eigen dienst. Als dat al niet veilig/zo veilig mogelijk is...

Ik zou jou teaser eigenlijk niet naast maar bovenop de onveiligheid van Ticketmaster zetten. Naast de gewoonlijke pebkac's ook lamme dienstverlening.
Je wilt liever je persoonlijke telefoonnummer koppelen aan een dienst die mogelijk gehacked is? Of moeten ze het wachtwoord naar je huisadres sturen? ;)

Correctie, een telefoonnummer was sowieso al verplicht voor een account...
Telefoonnummer overdag *
Telefoonnummer thuis *

[Reactie gewijzigd door Kiswum op 12 februari 2020 13:58]

Ik zou eerder denken aan een beperkt houdbare password reset code. Je vraagt via website een nieuw wachtwoord aan. De website mailt je een unieke code die 5 minuten geldig is. Door je e-mailadres samen met die code in te vullen op de website kun je zelf direct je nieuwe wachtwoord instellen. Dan gaat nooit je wachtwoord in plaintext over de lijn. Zeker aangezien er nu niet geforceerd wordt dat het tijdelijke wachtwoord direct gewijzigd wordt laten ze hier best wat steekjes vallen.
Wat @MadEgg zegt. Eigenlijk verwacht ik dat elke dienst een 2fa mogelijkheid biedt maar snap dat niet elke mkb-er dat kan betalen. Van zo'n groot monopolie bedrijf als Ticketmaster mag je meer verwachten.
Haha ja inderdaad, een 'tijdelijk' (eigenlijk permanent) nieuw wachtwoord in plain text via de mail, lekker dan ;)
Tijdelijk? Ik kon er mee inloggen en werd niet door verwezen om een nieuw wachtwoord aan te maken.
Dus hoe tijdelijk is het :)
Inderdaad zo’n mail gehad. Opvallend is wel dat het nieuwe (tijdelijke) password in plain text via email verstuurd wordt. In die mail krijg je het advies dit tijdelijke wachtwoord dan weer aan te passen, maar dat forceren ze niet als je inlogt.

Dat is...niet heel handig, laten we het daar op houden ;)
Heel raar inderdaad. Ik had verwacht dat ik verplicht zou worden om het tijdelijke wachtwoord direct te wijzigen, maar niets van dat alles. Raar.....zelf maar ff een nieuw wachtwoord gegenereerd overigens.
nieuw (tijdelijk) wachtwoord in plaintext sturen is normaal, maar ze moeten dan wel forceren dat je hem opnieuw instelt. Nu zit dat wijzigen echt vaag ver weg onder profiel weggestopt
Ze stellen ook nog:
Wij adviseren om dan direct je wachtwoord weer te wijzigen naar een zelfgekozen wachtwoord, welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden.
Ook hier is geen check op. Ik kon met het tijdelijke wachtwoord mijn wachtwoord zo weer instellen op het vorige wachtwoord. Daarna alsnog maar veranderd naar een nieuwe, daar heb je password managers voor nietwaar.
Zelfde mail ook gehad, goeie actie wat mij betreft. Alleen werkt het opvragen van een nieuw wachtwoord nog niet zo lekker, het lukt mij nog niet om met het gegeneerde wachtwoord in te loggen.
Ik heb door de tijd heen twee maal m'n emailadres op het account gewijzigd. Kreeg nu een mail op alle drie de adressen, geen flauw idee waarom ze die oude nog hebben. Eerst de actieve gereset, toen de twee inactieve, en daarna was de actieve weer kapot. Password nogmaal gereset, werkte niet, nogmaals gereset, werkte wel.
Krijg niet direct het gevoel dat de boel daar nou echt goed geregeld is. Later nog maar een keer uitvogelen hoe ik die twee andere accounts verwijderd krijg.
Ze verwijzen naar het mail-adres privacy@ticketmaster.nl om je account te laten verwijderen.
Heb ik ook last van, maar ik had ook gelijk mijn mail gewijzigd naar mijn catchall subdomain zodat bij een lek duidelijk is waarvandaan is gelekt. maar kom er met oud en nieuw niet meer in, ook een soort van veilig. :P
2 jaar geleden heb ik het wachtwoord aangepast naar een unieke versie voor die website. Hiermee is mijn account niet te misbruiken via andere platformen.

Doordat het bericht in mijn spambox kwam verdachte ik de situatie niet, vermoedelijk doordat ze het naar een hoop gebruikers op hetzelfde moment hebben verstuurd.
Ik weet dat mijn wachtwoord niet is misbruikt, maar blijkbaar zijn er wel enorm veel inlogpogingen geweest bij Ticketmaster bij andere gebruikers. Ervoor zorgen dat je profiel tijdelijk 10 minuten wordt gebanned bij 4 verkeerde pogingen zou al een verschil uitmaken om dit soort resets te voorkomen.
Waarom zouden het verkeerde pogingen zijn geweest?

De hacks op andere websites, met baggeropslag van wachtwoorden, geven vaak combinaties van userIDs (email adressen) en wachtwoorden, die vervolgens gescript op allerlei sites geprobeerd kunnen worden.
Als jij dezelfde combinaties van ID/wachtwoord hebt gebruikt op ticketmaster, komen ze gewoon binnen, tenzij ze bredere detectiemiddelen hebben ingezet
ID + wachtwoordcombinatie is uniek, vandaar dat ze niet binnen kunnen komen met een gestolen wachtwoord. Tenzij Ticketservice zelf is gehackd.
Ik reageerde niet op het feit dat jij unieke combinaties gebruikt (heel goed!), maar op je zin 'Ervoor zorgen dat je profiel tijdelijk 10 minuten wordt gebanned bij 4 verkeerde pogingen zou al een verschil uitmaken om dit soort resets te voorkomen.'

Dit laatste heeft dus geen zin als mensen geen unieke combinaties gebruiken
Ah, sorry, te snel geconcludeerd. In dat geval klopt het dat zoiets geen effect heeft. Echter is het nooit verstandig om je wachtwoord op meerdere accounts in te stellen. Dat is vooral de laatste 4 jaar wel gebleken met de vele hacks, wachtwoorden die op straat liggen en met de voorlichting vanuit tech sites.
Van mijn Ticketmaster BE account heb ik geen mail gekregen
Ticketmaster NL en BE zijn gescheiden systemen voor zover ik weet.
Als Nederlander kan je geen tickets via Ticketmaster NL voor BE bestellen, dit moet via de BE site en omgekeerd...
Dat zal kloppen,...
Echter gebruik ik voor beide Ticketmaster accounts dezelfde inloggegevens.(overigens ook de enige keer dat er geen uniek password gebruikt is)
Dus als de NL site gehackt zou zijn, zou de password verandering dus voor mij ook voor BE moeten ...

En ik denk dat ik niet de enige ben die voor de diverse Ticketmaster sites dezelfde inloggegevens toepast
Veel kans dat ze zelf gehacked zijn want mijn e-mailadressen zijn uniek. Ik gebruik mijnnaam+ticketmasternl@gmail.com om net te zien welke databases en servers gehacked worden. Bij Google kan je +elke naam zetten, en het komt in jezelfde mailbox terecht.

Ik heb ook zo’n e-mail gekregen, en mijn mail adres is nooit ergens anders gebruikt.

Vind ik vreemd.
Iedereen die een account heeft bij ticketmaster heeft betreffende mail gehad.
En ook mensen zonder account, want ik heb helemaal geen Ticketmaster-account, maar wel die mail gehad. Foutje, bedankt?
Ooit wellicht tickets gekocht zonder een account te maken?
Geen idee of Ticketmaster ook nog andere sites heeft waarop dit ook van toepassing is.
Ik heb daar nooit tickets gekocht, dus ze hebben mijn gegevens onrechtmatig verkregen. Kan helaas geen klacht bij ze neerleggen, want ze accepteren alleen klachten over evenementen. Heb er dus maar een melding van gemaakt bij de Autoriteit Persoonsgegevens...
De e-mail vervolgt: "Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset". Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is, of dat de communicatie onduidelijk is opgesteld.
Dat lijkt onwaarschijnlijk. Ik had ook een mail, maar had een alias gebruikt als gebruikersnaam mail+randomstring@gmail.com.

Ook die is gerest. Dus tenzij die aanvallers usernames van TicketMaster zelf in bezit hebben hadden ze dat nooit kunnen vergaren uit een andere leak omdat zowel mijn username als password uniek zijn.
Bij mij hetzelfde... ...+ticketservicenl@gmail.com
Ik krijg deze mail nu ook en ik weet 100% zeker dat ik nog nooit zelfs maar op de website van Ticketmaster ben geweest, laat staan dat ik een account heb daar.
Beetje zelfde hier, ik kreeg de mail op ticketservice@t*****h.nl

Meestal registreer ik op bedrijfsnaam@t*****h.nl dus het wijkt wel af. Zijn ze onlangs van naam veranderd?
maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.
Ja ehm hoe moeten Ticketmaster weten of jou wachtwoord uniek is?
In dit geval had de tekst in de mail wel wat beter mogen zijn maar denk altijd; 'better safe than sorry'.

Kijk wij als Tweakers zullen hier wat beter mee om gaan, maar er zijn nog genoeg 'gebruikers' die geen unieke wachtwoorden gebruiken.
Kijk wij als Tweakers zullen hier wat beter mee om gaan, maar er zijn nog genoeg 'gebruikers' die geen unieke wachtwoorden gebruiken.
Dat is een gevaarlijke aanname. Zelf had ik voor Tweakers heel lang (10 jaar) geen sterk wachtwoord. Tot dat ik las dat er misbruik van accounts werd gemaakt in VA. (Dit account komt nog uit de tijd dat internet veiligheid nog niet z'n ding was).

De mail van Ticketmaster is erg ongelukkig geformuleerd. Als ze hun wachtwoorden fatsoenlijk gehashed hebben durf ik wel te stellen dat niemand dat wachtwoord van mij ooit zal brute forcen (15+ random). Toch maar even veranderd zeker dat "tijdelijke" wachtwoord van ze was minder goed dan het wachtwoord wat erop stond.
Er zijn altijd uitzonderingen op de regel.
Tegen alle adviezen in, zoals van OWASP, stuurt ticketmaster bij een password reset in plain text een wachtwoord die je niet hoeft aan te passen na inloggen.

Ik snap niet hoe dit door een pen-test heeft kunnen komen. Ik heb ze er eerder eens op gewezen maar de betreffende Twitter medewerker van ticketmaster snapte het blijkbaar niet.
Bizar dit inderdaad, viel mij net ook op. Tevens dat men spreekt over een 'tijdelijk wachtwoord' die je zo snel mogelijk moet aanpassen, maar als men teruggaat naar hun eigen PW is het waarschijnlijk zelfs minder veilig dan hun randomized PW.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True