Ticketmaster krijgt boete van 1,39 miljoen euro na datalek

Kaartverkoopdienst Ticketmaster heeft in Engeland een boete gekregen van 1,39 miljoen euro voor het overtreden van de privacywet. De dienst werd in 2018 gehackt. De Britse privacytoezichthouder zegt dat Ticketmaster de beveiliging slecht op orde had.

De boete komt van de Information Commissioner's Office, de Britse privacytoezichthouder, vergelijkbaar met de Nederlandse Autoriteit Persoonsgegevens. Die heeft aan de Britse tak van Ticketmaster een boete van 1,25 miljoen pond opgelegd, omgerekend 1,39 miljoen euro. De hack toont volgens de ICO een slechte beveiliging aan, en daarmee overtrad Ticketmaster de GDPR.

Het datalek bij Ticketmaster vond plaats in februari 2018. Toen waarschuwde de website een deel van de klanten al voor het datalek. Hackers zouden de website hebben geïnfiltreerd met de Magecart-malware, een bekende creditcardskimmer. Dat gebeurde via een chatbot op de site van Ticketmaster. Die chatbot was afkomstig van een externe leverancier. Bij het datalek werden gegevens van naar schatting 9,4 miljoen Europese gebruikers buitgemaakt. Het ging om onder andere om creditcardgegevens inclusief de cvv-codes. 1,5 miljoen slachtoffers kwamen uit het Verenigd Koninkrijk.

De ICO concludeert in zijn rapport dat Ticketmaster op verschillende punten tekort schoot. Het bedrijf voorzag het risico niet van de aanwezigheid van een chatbot op de betaalpagina, en had daarvoor geen specifieke beveiligingsmaatregelen opgezet. Ook had Ticketmaster te laat door dat er een diefstal bezig was. Het bedrijf begon pas negen weken na de eerste signalen met het monitoren van netwerkverkeer op de betaalpagina. Onder de Europese privacywet is het een vereiste dat bedrijven adequate beveiliging hebben voor persoonsgegevens.

"Toen klanten hun persoonlijke gegevens doorgaven verwachtten ze dat Ticketmaster daar goed mee om zou gaan. Maar dat gebeurde niet", schrijft de toezichthouder. "Ticketmaster had meer moeten doen om het risico op een cyberaanval te verkleinen. Het feit dat dat niet gebeurde betekent dat miljoenen mensen slachtoffer zijn van mogelijke fraude." De toezichthouder zegt dat de boete 'een signaal is voor andere organisaties', en dat die goed op de veiligheid van klantgegevens moeten letten.

Het datalek begon in februari 2018, maar toen was de GDPR nog niet officieel van kracht. De privacywet werd ook in het VK pas vanaf 25 mei van dat jaar gehandhaafd. De boete is daarom van toepassing op overtredingen die vanaf die periode plaatsvonden. Ticketmaster haalde de chatbot pas in juni 2018 van de site af. De ICO zegt te hebben opgetreden namens alle Europese privacytoezichthouders, omdat de overtreding plaatsvond toen het VK nog in de Europese Unie zat.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-11-2020 17:33 35

13-11-2020 • 17:33

35

Lees meer

CMA start onderzoek naar Ticketmaster na dynamische ticketprijzen Oasis-concert
CMA start onderzoek naar Ticketmaster na dynamische ticketprijzen Oasis-concert Nieuws van 5 september 2024
Ticketmaster staat doorverkoop mobiele tickets op andere platformen voortaan toe
Ticketmaster staat doorverkoop mobiele tickets op andere platformen voortaan toe Nieuws van 19 juni 2024
'Amerikaanse Justitie gaat moederbedrijf Ticketmaster aanklagen'
'Amerikaanse Justitie gaat moederbedrijf Ticketmaster aanklagen' Nieuws van 16 april 2024
Duits bedrijf krijgt 10,4 miljoen euro voorwaardelijke boete voor cameratoezicht
Duits bedrijf krijgt 10,4 miljoen euro voorwaardelijke boete voor cameratoezicht Nieuws van 18 januari 2021
Ticketmaster krijgt miljoenenboete voor inloggen op systemen van concurrent
Ticketmaster krijgt miljoenenboete voor inloggen op systemen van concurrent Nieuws van 1 januari 2021
Gegevens van 65.000 Koei Tecmo-forumgebruikers zijn gestolen bij datalek
Gegevens van 65.000 Koei Tecmo-forumgebruikers zijn gestolen bij datalek Nieuws van 28 december 2020
NOS: cyberaanvallers probeerden in te breken bij Air France-KLM
NOS: cyberaanvallers probeerden in te breken bij Air France-KLM Nieuws van 10 december 2020
Gegevens van 90.000 KNWU-leden zijn gestolen bij datalek
Gegevens van 90.000 KNWU-leden zijn gestolen bij datalek Nieuws van 30 november 2020
Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update
Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update Nieuws van 12 februari 2020
Twee marktplaatsen voor sportwedstrijdkaarten geïnfecteerd met creditcardskimmer
Twee marktplaatsen voor sportwedstrijdkaarten geïnfecteerd met creditcardskimmer Nieuws van 23 januari 2020
Toezichthouder wil 204 miljoen euro boete voor British Airways na groot datalek
Toezichthouder wil 204 miljoen euro boete voor British Airways na groot datalek Nieuws van 8 juli 2019
Kwaadwillenden stalen creditcardgegevens klanten Newegg
Kwaadwillenden stalen creditcardgegevens klanten Newegg Nieuws van 19 september 2018
'British Airways- en Ticketmaster-hacks zijn het werk van dezelfde groep'
'British Airways- en Ticketmaster-hacks zijn het werk van dezelfde groep' Nieuws van 11 september 2018
'Ticketmaster-lek is werk van skimmergroep die veel meer slachtoffers maakte'
'Ticketmaster-lek is werk van skimmergroep die veel meer slachtoffers maakte' Nieuws van 10 juli 2018
Bank zegt Ticketmaster begin april al over fraude te hebben geïnformeerd
Bank zegt Ticketmaster begin april al over fraude te hebben geïnformeerd Nieuws van 29 juni 2018
Meer producten en artikelen
Beveiliging en antivirus algemene verordening gegevensbescherming Boete Datalek Verenigd koninkrijk

Reacties (35)

-Moderatie-faq
35
32
17
2
0
9
Wijzig sortering
StephanVierkant 13 november 2020 20:31
Sprak iemand die door de bank gebeld n.a.v. deze hack. Z'n creditcardgegevens waren gestolen en de bank wist te vertellen dat er bij alle verdachte transacties één gemene deler was: de klanten hadden recent aan Ticketmaster betaald. Helaas bleef TM desondanks ontkennen dat ze waren gehackt en bleef de schuld aan de klant geven.

Het is dus niet alleen dat ze niet proactief handelden, maar ook duidelijke signalen werden genegeerd.
alienfruit 13 november 2020 17:37
Toch altijd 'leuk' om te zien hoeveel je persoonlijke gegevens waard zijn. Blijkbaar zijn credit card gegevens zo ongeveer 80p waard.
Cergorach
@alienfruit13 november 2020 17:55
Dat kan komen doordat er een wettelijke beperking is op hoeveel boete de rechter kan opleggen. Het is ook pas maar een paar jaar in Nederland dat dit een percentage kan zijn ipv. een boete van een paar ton. Een paar ton is funest voor een midden tot klein bedrijfje, maar voor iets groters is het waarschijnlijk veel minder dan de boel op orde hebben qua beveiliging...
WouterL @Cergorach13 november 2020 18:45
Om het even helder te krijgen:
1). De ICO is geen rechter maar een onafhankelijke toezichthouder zoals bedoeld in de AVG.
2). Er is inderdaad een beperking mbt. de hoogte van de boete. Dat is echter veel meer dan het hier opgelegde bedrag (20M of 4% van de wereldwijde jaarlijkse omzet. Dat kan dus een heleboel zijn).
Het boetebedrag heeft trouwens maar ten dele te maken met de hoeveel data die is gelekt. De ernst van de overtreding staat centraal. Zo kun je in theorie ook een miljoen euro boete betalen voor slechts één dataset van één persoon.
supersnathan94
@WouterL13 november 2020 21:54
Ticketmaster is een best groot bedrijf. Schatting van de jaarlijkse omzet is zo’n 2 miljard. Het moederbedrijf is ook geen kleintje met een jaarlijkse omzet van 11.5Miljard

https://www.theticketingb...venue-growth-2019-11-5bn/

1,4 miljoen op 2 miljard is een klein percentage (ongeveer een half procent, iets meer).

Punt qua ernst is dat er al tienduizenden zo niet honderduizenden credit cards misbruikt zijn.
Investigators found that, as a result of the breach, 60,000 payment cards belonging to Barclays Bank customers had been subjected to known fraud. Another 6,000 cards were replaced by Monzo Bank after it suspected fraudulent use.
.

Vandaar dus waarschijnlijk de hoogte van dit bedrag.
Wild Chocolate @supersnathan9414 november 2020 11:31
1,4 miljoen is 0,07% van 2 miljard. Dus echt een fooi ten opzichte van de wereldwijde omzet.
supersnathan94
@Wild Chocolate14 november 2020 16:54
Oh haha. Is idd 2.000 miljoen. Dus net iets meer dan half promille ja
Tozz @Wild Chocolate16 november 2020 12:47
Alleen is puur naar omzet kijken niet zo interessant. Een bedrijf kan 2 miljard omzet draaien maar toch 200 miljoen verlies draaien. Dan is 1,4 miljoen wel flink zuur als ondernemer.

Je zou eigenlijk moeten kijken naar bijvoorbeeld bruto omzetresultaat, EBITDA of een andere graadmeter voor winst die nog niet helemaal uit elkaar wordt getrokken om maar belasting te verlagen.
kodak
@alienfruit13 november 2020 17:57
Er was eerder al bekend dat het ging om veel meer persoonsgegevens: naam, adres, e-mailadres, telefoonnummer, betalingsgegevens en logins van het Ticketmaster-account. Dat wil dus zeggen dat de kans reeel is dat er per klant dus meer gegevens gelekt zijn. Als je het per gegeven gaat bekijken lijkt het dus nog veel minder waard.

Het ondoorzichtige aan de boetes is helaas hoe ze tot een bedrag komen. Het is natuurlijk goed dat er voor het verantwoordelijke bedrijf gevolgen aan een lek zitten maar ik zou wel willen weten waarom ze menen dat dit dan een gepast bedrag is als het om zoveel gegevens gaat. Zeker met de conclusies dat het bedrijf niet eens moeite leek te hebben gedaan om de gegevens van hun klanten veilig te verwerken. Dat zou zelfs kunnen betekenen dat als het bedrijf dan wel wat meer moeite had gedaan het bedrag zelfs nog lager was geweest? En wat moet er dan gebeuren om tot een bedrag te komen dat meer in de buurt komt van de gevolgen voor al die klanten?

[Reactie gewijzigd door kodak op 24 juli 2024 08:09]

Noitisnt @kodak13 november 2020 22:02
Zouden die gedupeerde klanten Ticketmaster niet voor de schade aansprakelijk kunnen stellen?
kodak
@Noitisnt13 november 2020 23:07
Dat kan maar ik weet niet of dat zin gaat hebben. Hoe wil je namelijk bewijzen werkelijk schade te hebben? Dat het je recht is om bescherming te hebben wil nog niet zomaar zeggen dat je dus bij schending van dat recht vervolgens recht op een schadevergoeding hebt. Natuurlijk zijn rechtzaken niet zomaar te vergelijken maar dit is wel een voorbeeld waarin er uiteindelijk is besloten dat een schadevergoeding terecht was.
Noitisnt @kodak14 november 2020 12:50
Bewijzen dat er schade is zou hiermee kunnen:

"Investigators found that, as a result of the breach, 60,000 payment cards belonging to Barclays Bank customers had been subjected to known fraud. Another 6,000 cards were replaced by Monzo Bank after it suspected fraudulent use."

Hoe het voor de rest juridisch in elkaar steekt weet ik niet, zoals je misschien al kan raden ben ik geen expert op dat gebied.
WillySis @alienfruit13 november 2020 18:32
De hoogte van de boete heeft totaal niets te maken met de "waarde" van mogelijk gelekte gegevens. Het is puur een administratieve boete omdat men de beveiliging niet op orde had. De aard en hoeveelheid data die men mogelijk buit kan maken is nauwelijks van invloed op de hoogte van de boete. Dit soort boetes is meer gerelateerd aan de gemiddelde jaaromzet.
jeffer @alienfruit13 november 2020 17:53
Wat natuurlijk veel te laag is. Als deze gegevens aan derden worden verkocht gaan ze vanwege de compleetheid (cvv-codes) voor veel meer weg. Misschien niet aan 1 partij maar dat kan wel 100en keren verkocht worden.
Ondanks dat ik het een ontzettend hoop geld vindt is Ticketmaster een grote partij en kunnen dit volgens mij prima betalen. Als je kijkt naar de marktwaarde en schade die ermee aangericht kan worden zou die boete veel hoger moeten zijn.

Ik weet niet veel van de echte waarde, ik heb meerdere nieuwsberichten gelezen de afgelopen jaren waar ik bedragen van 5 tot 15 dollar per creditcard heb gezien.Geen idee of je er dan veel af moet nemen.

[Reactie gewijzigd door jeffer op 24 juli 2024 08:09]

Verwijderd @jeffer13 november 2020 22:32
proficiat, je bent de eerste die het weer te laag vind.
Het is een boete voor het lek, niets meer en niets minder.
Dat staat los van eventuele schade die voortvloeit uit het lek, het heeft ook 0,0 te maken met de "waarde" van de gegevens zoals er hier blijkbaar een aantal denken. Het is een boete, geen waardebepaling, en geen schadeloosstelling.
Als een gedupeerde schade lijdt moet ticketmaster dat gewoon vergoeden en dat staat los van die boete
Daoka @alienfruit13 november 2020 21:20
Het zijn ook maar een aantal cijfers en een naam natuurlijk. Dat is niet zoveel waard ;)
vpm 13 november 2020 17:45
Zouden ze nu de zaken wel op orde hebben? Onlangs kondigde ze aan een speciale status te willen toekennen aan mensen die een negatieve covid-test hebben ondergaan, danwel gevaccineerd zijn. Hopelijk denken mensen wel twee keer na voordat ze die gegevens delen (uberhaupt, ongeacht de tegenpartij).
FreshMaker @vpm13 november 2020 18:56
Zouden ze nu de zaken wel op orde hebben? Onlangs kondigde ze aan een speciale status te willen toekennen aan mensen die een negatieve covid-test hebben ondergaan, danwel gevaccineerd zijn. Hopelijk denken mensen wel twee keer na voordat ze die gegevens delen (uberhaupt, ongeacht de tegenpartij).
De negatieve coronatest is ook fraudegevoelig ...
Voor 60€ heb je een officieel ogend document, wat vrijwel overal klakkeloos wordt geaccepteerd, omdat er geen standaardisatie en registratie op zit
Ozzy @vpm13 november 2020 18:02
Ze denken na over een onderzoek daarvoor, in Amerika. Ticketmaster Nederland heeft aangegeven dat ze een corona-test niet gaan verplichten.

Die CVV gegevens mogen volgens mij sowieso niet opgeslagen worden, maar mogen alleen gebruikt worden bij de authenticatie van een creditcard tijdens de transactie. Maar het lijkt erop (heb het rapport niet gelezen) dat ze alleen een boete hebben gekregen voor de beveiliging?
aikebah @Ozzy13 november 2020 18:34
Die CVV gegevens mogen volgens mij sowieso niet opgeslagen worden, maar mogen alleen gebruikt worden bij de authenticatie van een creditcard tijdens de transactie.
Waar ze zich dan ook gewoon netjes aan hielden.... maar een formdata-scraper-script op de betaalpagina kan ze natuurlijk prima vanuit het formulier opsturen naar de hackers. Dat is hoe de data gelekt is browser=>hacker-server.
Om hem op te kunnen sturen naar de CC company moet je de CVV-code wel onderdeel maken van het formulier, dus als de hacker het formulier in de browser uit kan lezen dan heeft ie ook de CVV-code.
Tozz @vpm16 november 2020 13:03
Dat lijkt mij wettelijk in ieder geval in Nederland niet toegestaan. Om bezoekers te weigeren op basis van gezondheidsstatus. Een momentopname (COVID-test) kan wellicht nog. Vaccinatie lijkt mij juridisch niet houdbaar.

Dan krijg je dezelfde discussie als met de kinderopvang
gop1 13 november 2020 21:28
Dus voortaan zijn de tarieven van TicketMaster als volgt:
Kosten ticket
+ Servicekosten
+ Administratiekosten
+ Betaalkosten
+ Kosten voor geprint ticket per post óf kosten voor een e-ticket.
+ Kosten voor GDPR-compliance.
Verwijderd @gop113 november 2020 22:38
Los van het feit dat ticketmaster een monopolistische bende oplichters is die artiesten en hun fans uitzuigen: de kosten voor GDPR compliance zullen hoe dan ook op een of andere manier doorgerekend worden, net zoals elke administratieve last die een overheid bedrijven oplegt.

Ik vind ook dat de grote amerikaanse facegoogles te ver gaan en dat ertegen opgetreden moet worden, maar deze wet schiet gewoon zijn doel voorbij: big tech doet gewoon verder, terwijl de rest van het bedrijfsleven nog maar eens extra administratief belast wordt. Het verhoogt de kosten van zaken doen en het kan niet anders dat dat doorgerekend wordt.
roelboel 13 november 2020 17:41
Wat mij betreft kunnen die oligopolistische boeven niet genoeg boetes krijgen. Ze strijken een enorm bedrag om en daar staat zulke laksheid tegenover.
Pixeltje 13 november 2020 18:14
Wel interessant, jou gegevens op straat, emailtje met sorry en iemand anders die een dikke boete mag bijschrijven. Hoe lang gaat het duren tot de betrokken gegevenseigenaar gecompenseerd wordt bij een groot datalek?

Begrijp me goed, ik snap dat die boete een incentive moet zijn voor dataverzamelaars om netjes met die gegevens om te gaan en dat ze niet bedoeld zijn als compensatie voor individuen. Toch is het in deze niet Ticketmaster die een risico loopt, maar de mensen achter de gegevens.
Gladiator5 @Pixeltje13 november 2020 19:07
Je kaart een heel goed punt aan.
Ik ben het daarin ook totaal met je eens.

Ben ook van mening dat er gewoon te laks mee word omgegaan. Bedrijf een boete, sorry mailtje de deur uit, en thats it. Maar de klant zijn gegevens, zwerven wel door meerdere databases, en dat zijn nou niet de databases waar zo lief word omgegaan met je gegevens.

Dit word een steeds groter probleem. En wellicht kan dit onder privacy schending terecht komen.

Ik ben benieuwd hoe het zou aflopen, als een ala google zijn database op straat komt te liggen.
Is een sorry mailtje dan nog acceptabel? of word er dan pas actie ondernomen.
StephanVierkant @Pixeltje13 november 2020 20:36
Ik ken het Britse recht onvoldoende, maar in Nederland moet je ook echt schade hebben en die kunnen bewijzen. Als de bank misbruik van creditcard-gegevens voorkomt of compenseert, heb je dus geen (financiële) schade.

Het enkele feit dat na een datalek iedereen en z'n moeder nu weet waar je geweest bent, van welke muziek je houdt, bij welke diensten je geregistreerd staat, etc. is erg lastig kwantificeerbaar om schadevergoeding te vorderen.
Royeboi 13 november 2020 20:35
Zo, dan kunnen we dat mooi gaan betalen via de administratie / fee van €10.


Verder geen enkele compensatie richting de gedupeerden, enkel een e-mailtje richting de klant en that’s it. Ze zullen dr geen kaartje minder om kopen.
Nico Klus 13 november 2020 20:01
Het datalek begon in februari 2018, maar toen was de GDPR nog niet officieel van kracht. De privacywet werd ook in Engeland pas vanaf 25 mei van dat jaar gehandhaaft.
Van kracht zijn en handhaven zijn 2 verschillende dingen.
De GPDR (AVG) was vanaf 25 mei 2018 van kracht, net als in de rest van de EU. Vanaf wanneer gehandhaafd werd ik de UK weer ik niet.
Maximusas 14 november 2020 12:16
Wellicht een interessante ontwikkeling wat betreft beveiliging van databases en decentralisatie van controle: Blockbase.network heeft funding van de EU en hebben nu, drie jaar later een werkend product.

Dit blockchain project maakt het mogelijk om je database encrypted op de blockchain te plaatsen en door verschillende nodes te laten controleren. Dit maakt het voor een indringer onmogelijk om data te veranderen omdat hij dan de controle over alle nodes moet krijgen.

Ik ben mij in dit project aan het inlezen, wellicht dat anderen dit ook interessant vinden en het goed kunnen gebruiken om het bedrijf te onderscheiden op basis van veiligheid rondom databases.

In deze video wordt de CEO geinterviewd en wordt er ook gepraat over de gigantische kosten die database breaches met zich meebrengen: https://www.youtube.com/watch?v=b4pjHW0e2h8
djwice @Maximusas14 november 2020 16:32
Hoe kun je later - als over x jaar de encryptie minder sterk is - de encryptie van reeds opgeslagen data verbeteren?

Volgens mij claimen ze geen verbeterde encryptie. Er wordt integriteit, immutability, accountability en auditability - en availability, geclaimt.

Kort gezegd, dat kun je met een standaard database bij een grote cloud provider ook heel simpel bereiken.

Sterker nog, met Apache Parquet bestanden op AWS S3 met lifecycle policy, versioning en logs aan (en SSE encryptie) en een glue data catalog entry ben je er ook. Voor een paar cent per maand per GB. Dit inrichten kost ongeveer - niet schrikken - 5 minuten en na automatisering nog korter.

En met Amazon Athena kun je het via ANSI-SQL queryen - kan native, maar ook via ODBC of JDBC voor €0,005 per GB data scanned. Resultaat is weer 100% auditable etc.

[Reactie gewijzigd door djwice op 24 juli 2024 08:09]

djwice 14 november 2020 16:26
Dus creditcard gegevens zijn minder dan £1,- per gebruiker waard als het gaat om boetes.

Uitlekken kan voor criminele organisaties dus lucratief zijn, zelfs na aftrek van de boete.

De boete zou eigenlijk ook minimaal de (zwarte) markt waarde moeten zijn.

En wat krijgen gedupeerde personen zelf hiervoor? Ik heb nu 3 mailadressen die gelekt en actief gebruikt worden. O.a. die gelekt is door de Nederlandse importeur van mijn auto. Hij kreeg mijn adres van de auto dealer zonder mijn toestemming vooraf.

[Reactie gewijzigd door djwice op 24 juli 2024 08:09]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq