Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update

Ticketmaster Nederland heeft de wachtwoorden van gebruikersaccounts een reset gegeven nadat de site verdachte inlogpogingen heeft waargenomen. Volgens de dienst werd er mogelijk ingelogd met gegevens die eerder bij een andere dienst zijn uitgelekt.

Verschillende tweakers hebben de e-mail ontvangen en Ticketmaster meldt op Twitter dat de e-mail is gestuurd 'naar ticketkopers'. Het lijkt erop dat de dienst het wachtwoord van alle of in ieder geval veel gebruikers heeft gereset. Ook mensen die wachtwoordmanagers en unieke wachtwoorden gebruiken, hebben de e-mail ontvangen.

In de e-mail schrijft Ticketmaster dat er 'ongewone inlogpogingen' zijn ontdekt bij een aantal accounts. Volgens het bedrijf zijn daarbij mogelijk inloggegevens gebruikt die verkregen zijn via een lek bij een andere dienst. Bedrijven resetten vaker wachtwoorden van gebruikers om die reden, maar het is opvallend dat Ticketmaster de e-mail ook stuurt naar gebruikers met unieke wachtwoorden.

De e-mail vervolgt: "Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset". Daarmee lijkt de site te impliceren dat er een inlogpoging is geweest op de accounts van mensen die de e-mail hebben ontvangen. Het is niet duidelijk of dat daadwerkelijk zo is of dat de communicatie onduidelijk is opgesteld. Tweakers heeft Ticketmaster om een toelichting gevraagd.

Update, 14:12: Ticketmaster meldt in een reactie op Twitter dat de e-mail naar alle gebruikers is gestuurd.

Door Julian Huijbregts

Nieuwsredacteur

12-02-2020 • 13:39

222 Linkedin

Reacties (222)

Wijzig sortering
Opvallend ook dat ze op eigen site/communicatie aangeven: " klik niet op links...", Vervolgens in eigen mail vrolijk een link toevoegen. Helpt niet echt in onderscheiden van een phising bericht volgens mij
Heb zojuist mijn wachtwoord gereset. Maar daar zaten ook een paar opmerkelijke zaken bij. Ten eerste zat bij de mail van het resetten van het wachtwoord een nieuw wachtwoord in. Dat verdient niet echt de schoonheidsprijs. En daarnaast, het nieuwe wachtwoord wat je opgestuurd krijgt werkt permanent. Het is geen tijdelijk wachtwoord. Je wordt niet gedwongen om een nieuw wachtwoord te maken.

Dat kan ook allemaal wel een klein beetje beter...
Helemaal mee eens, best apart dat zulke grote organisaties dat toch niet beter begrijpen te implementeren. Uiteraard, het zal best even wat programmeerwerk kosten maar het is niet dat we in 1996 leven ofzo.

[Reactie gewijzigd door gooos op 13 februari 2020 16:35]

Je verwardt grote naam met professionele organisatie. Ik ken ticketmaster omdat ze een lange tijd onbereikbaar waren voor gebruikers met IPv6 omdat in hun DNS een ongeldig AAAA record stond. Daar heb ik ze op geattendeerd en dat duurde maanden voor het hersteld was. Het zijn prutsers.
Wel even goed lezen: ;)
"...en eerste zat bij de mail van het resetten van het wachtwoord een nieuw wachtwoord in."
De mail in kwestie:
Beste klant,

Bij Ticketmaster houden we onze website continue in de gaten zodat afwijkende activiteit snel opvalt. Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset. Zo kunnen wij ervoor zorgen dat je account, je persoonlijke gegevens en tickets van aankomende events veilig blijven.

Wat nu?
Via de website van Ticketmaster kan je een nieuw tijdelijk wachtwoord aanvragen. Klik rechtsboven op ‘Log in/registreer’ en reset hier je wachtwoord. Je ontvangt dan een tijdelijk wachtwoord per mail. Wij adviseren om dan direct je wachtwoord weer te wijzigen naar een zelfgekozen wachtwoord, welke geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden. Je kan dit doen zodra je bent ingelogd in je account met je tijdelijke wachtwoord, onder ‘Mijn profiel’ en vervolgens ‘Bewerk contactgegevens’.

Wat is er gebeurd?
Mensen gebruiken helaas vaak dezelfde inloggegevens op veel verschillende websites. Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen.

We vinden het erg belangrijk dat jouw persoonlijke gegevens veilig zijn, en blijven. Wil je daar meer over weten? Check dan onze privacy pagina.

Vriendelijke groeten,
Team Ticketmaster
dat maakt dus helemaal niets uit, maar wat wel uitmaakt is dat het door hen verstuurde 'tijdelijke' password helemaal niet een time-limited one-time use password is. En dat is dus de fout die ticket-master maakt. Een soortgelijke fout kunnen ze net zo makkelijk maken met een token-based URL.

tijdelijk wachtwoord of link token maakt niet uit... het gaat om het tijdelijk & one-time use van het secret dat in de mail verstuurd wordt
Dit is wel een beetje een gekke situatie. Ik zie niet echt in waarom een bedrijf gebruikers verplicht om wachtwoorden te veranderen wanneer ANDERE sites lekken hebben gehad. Dan kun je immers wel bezig blijven!

Het enige wat ik me zou kunnen voorstellen is dat ze hun wachtwoorden-database hebben getest tegen een externe 'p0wned' achtige database, en erachter kwamen dat er wel veel dubbelingen in zaten. Maar dat bewijst dus enkel dat hun gebruikers dus doorsnee mensen zijn die geen unieke passwords gebruiken.

Aan de ene kant goed dat een bedrijf actie onderneemt voor de veiligheid, aan de andere kant vind ik dit behoorlijk ingrijpend (gedwongen reset). Als je mensen bewuster wilt maken had je ook gewoon kunnen mailen en waarschuwen zonder de reset te doen.
Ik ben toch wel benieuwd hoe dit nu precies zit. Er zijn geen mogelijkheden om de inlog historie te bekijken en volgens mij heerst er nu veel onduidelijkheid over welke accounts nu wel zijn binnengedrongen en welke niet. Sommige mensen hebben voor een klein fortuin aan kaarten staan bij Ticketmaster en niemand wil bij de deur van een event erachter moeten komen of zijn of haar account gehackt is waarbij kaarten zijn gestolen. Ik vraag me af of Ticketmaster inderdaad de account eigenaren waarbij er is ingebroken op de hoogte stelt en of de desbetreffende kaarten onbruikbaar worden gemaakt. Dit lijkt mij toch wel het minste wat ze kunnen doen in zo'n geval.
Omdat de mail het over "je account" heeft, lijkt die te suggereren dat er ook is ingelogd op accounts van gebruikers die een uniek wachtwoord hebben. Zo lijken veel ontvangers van de e-mail het in ieder geval te interpreteren; blijkt onder andere uit de vele submits die we gekregen hebben en berichten op Twitter.

Tot nog toe is de enige officiële communicatie de e-mail. Ik heb contact opgenomen met Ticketmaster en die komen als het goed is later met antwoord. Vanwege de vele submits hebben we het alvast online gezet.
Ze zijn zelf gehacked, is mijn mening, want ik gebruik een uniek e-mailadres dat nooit ergens anders is gebruikt en krijg ook deze mail...
Same here. Ook al weet ik vrij zeker dat het een uniek en gegenereerd wachtwoord is. Op zich wel goed dat ze preventief alles resetten.

Edit: Zoals @Hielke Hoeve al aangeeft.. Wel briljant dat je een nieuw 'tijdelijk' wachtwoord krijgt wat je z.s.m. moet wijzigen. En dit wijzigen wordt niet verplicht na de eerste keer inloggen... Hoe slecht wil je het hebben :-(

[Reactie gewijzigd door Rohem op 12 februari 2020 14:05]

Ik dacht eerst ook dat het een phishing email was, heb uitgezocht of ik inderdaad een account heb en toen gebeld met Ticketmaster om te vragen of de mail van hen was. Toen zij dat bevestigden, heb ik ingelogd (nadat zij me een nieuw wachtwoord hadden gemaild) en lees daar tot mijn verrassing een postadres waar ik al 10 jaar niet meer woon, zo lang geleden is het dus dat ik het ooit nodig heb gehad.

Helaas kon ik op de site niet terug vinden hoe je een account kunt verwijderen, ze verwijzen naar de pagina "https://www.ticketmaster.nl/privacy?language=nl-nl" als je klikt op de vraag "hoe kan ik mijn account verwijderen?". Toen dus maar een mailtje gestuurd aan privacy@ticketmaster.nl met de vraag mijn account te verwijderen.
Jup, die pagina ken ik. Daar staat niks waar je wat aan hebt. Ze sturen je naar de privacy pagina, met nog meer niks. Uiteindelijk is er niet een knopje 'Delete mijn account'.
1 2 3 ... 6


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True