Ticketmaster krijgt miljoenenboete voor inloggen op systemen van concurrent

Kaartverkoopplatform Ticketmaster heeft in de VS een boete gekregen van tien miljoen dollar omdat werknemers met gestolen wachtwoorden inlogden op netwerken van de concurrent. Ticketmaster maakt zich daarmee schuldig aan computervredebreuk, stellen aanklagers.

De boete is onderdeel van een schikking die Ticketmaster heeft getroffen met aanklagers in het land. Medewerkers van Ticketmaster gebruikten bemachtigde wachtwoorden om binnen te dringen in de systemen van concurrent Songkick. Dat bedrijf biedt artiesten de mogelijkheid aan om concertkaarten al in een vroeg stadium voorafgaand aan de officiële verkoop te verkopen, en het maakt een app waarmee het verloop van kaartverkoop kan worden bijgehouden.

Een medewerker van Songkick verliet het bedrijf in 2012 en ging een jaar later bij Ticketmaster in dienst. Daarbij nam hij onder andere wachtwoorden voor het Songkick-systeem mee. Volgens de aanklacht zouden medewerkers van Ticketmaster die specifiek hebben gebruikt om grote cliënten van Songkick af te pakken, en om het bedrijf 'dicht te knijpen'. De medewerker gebruikte de inloggegevens die hij nog had tijdens livedemonstraties voor managers, en raadde hen actief aan 'snel screengrabs van het systeem te maken'.

Naast inloggegevens had de werknemer ook nog toegang tot webpagina's waarop Songkick tickets verkocht. Die pagina's waren niet beveiligd met een wachtwoord, maar waren alleen te vinden door wie de url wist. De werknemer wist hoe de url's ervan gegenereerd werden. De werknemer moest die informatie uitleggen aan werknemers van Ticketmaster. Die hielden op die manier de concurrent bijna een jaar lang in de gaten.

De boete is deel van een schikking, en geldt alleen voor de overtreding van het indringen op het computernetwerk van de concurrent. De boete komt in totaal neer op tien miljoen dollar of 8,18 miljoen euro. Ticketmaster moet daarnaast ook een programma opzetten rondom compliance en ethiek om te voorkomen dat het in de toekomst meer computervredebreuk pleegt. Als het dat nog een keer doet kan het alsnog vervolgd worden voor meer overtredingen, waaronder fraude en computercriminaliteit voor financieel gewin.

Reacties (103)

densoN 1 januari 2021 10:06

Salliant detail: De medewerker die de wachtwoorden en url's deelde kreeg in januari 2015 een promotie tot directeur klantrelaties en een loonsverhoging

robvanwijk

Hackers
Verenigde staten
Politiek en recht

@densoN • 1 januari 2021 14:54

Directeur klantrelaties? Weten ze bij Ticketmaster echt heel erg zeker dat dat verstandig is? Deze gast toegang geven tot al je klantgegevens is de kat op het spek binden: wie weet wanneer ie ontslag neemt en een USB-stick met al hun klantgegevens meeneemt naar de volgende concurrent?

bamboe @robvanwijk • 1 januari 2021 17:55

Zou die medewerker ook niet prive een rechtzaak krijgen wegens inbraak of iets dergelijks?
Het zou heel erg zijn als hij er zo maar mee weg kan komen.

twkr18526 @bamboe • 1 januari 2021 19:10

Sterker nog, hij wordt beloond voor zoiets. 10 miljoen boete is weinig voor de omzet van ticketmaster.

GenGF @densoN • 1 januari 2021 19:43

Klinkt alsof het bedrijf goed op de hoogte was van de dubieuze activiteiten van deze werknemer. Misdadig.

Bensimpel @GenGF • 1 januari 2021 22:00

Klinkt alsof ze gewoon ook (misbruik) maakte van wat deze medewerker wist. Beiden waren misdadig bezig.

Joop @GenGF • 2 januari 2021 16:37

Ja, dubieus is niet het juiste woord, dit was overduidelijk illegaal en daar zijn ze nu ook voor veroordeeld. Misdadig was het wel.

rijnsoft 1 januari 2021 10:05

Het mag natuurlijk niet maar Songkick lijkt ook erg zorgeloos te zijn omgegaan met de beveiliging. Accounts deactiveren van vertrekkende medewerkers is een basis dingetje.

Aganim

@rijnsoft • 1 januari 2021 10:17

Absoluut, maar dat maakt dit niet minder fout. Om dan maar het cliché erin te gooien: niet heel anders dan vergeten je deur op slot te doen. Dat is niet handig, maar geen vrijbrief dat de boel dan maar leeggehaald mag worden.

Sowieso bijzonder onprofessioneel om inloggegevens van je oude baas te misbruiken, wat mij betreft zou zo'n werknemer bestraft dienen te worden ipv beloond met een directiefunctie. Zegt ook wel iets over het moreel kompas bij Ticketmaster.

Ik zou zo'n flapdrol overigens niet eens in dienst wíllen hebben, want welke garantie heb je dat hetzelfde trucje niet nog eens geflikt wordt met je eigen gegevens als de werknemer overstapt?

Deleon78 @Aganim • 1 januari 2021 11:40

Moreel kompas? We hebben het over ticketmasters... je weer wel, dat bedrijf wat grote hoeveelheden tickets aan zn eigen scalp-bedrijven verkoopt...

TheVivaldi @Deleon78 • 1 januari 2021 12:17

En niet-gebruikers lastigvalt met mails. Ik heb nog nooit iets besteld bij Ticketmaster, maar kreeg begin dit jaar na dat lek bij de Nederlandse Ticketmaster ineens e-mails dat mijn account daar ook bij zat en zo. En vervolgens kreeg ik ook andere e-mails van ze waar ik met moeite vanaf kwam. Ze hebben dus gewoon ergens mijn e-mailadres gescraped.

[Reactie gewijzigd door TheVivaldi op 23 juli 2024 19:14]

mae-t.net @TheVivaldi • 1 januari 2021 20:33

Wellicht ooit kaartjes gekocht bij een door hen overgenomen bedrijf? Hoe dan ook inderdaad niet helemaal netjes volgens de AVG.

TheVivaldi @mae-t.net • 1 januari 2021 21:30

Wellicht ooit kaartjes gekocht bij een door hen overgenomen bedrijf?

Nee, nooit.

Verwijderd @TheVivaldi • 1 januari 2021 13:00

Wat heb je daar mee gedaan?

TheVivaldi @Verwijderd • 1 januari 2021 13:04

Doorgegeven aan de AP, maar die meldden me (na maanden wachten) dat ze er niks mee konden (waarschijnlijk omdat ze, zoals bekend, onderbezet zijn)...

[Reactie gewijzigd door TheVivaldi op 23 juli 2024 19:14]

Marcel Br @Aganim • 1 januari 2021 10:58

De garantie is een beter contract met NDA en boeteclausule

Verwijderd @Marcel Br • 1 januari 2021 11:48

Dus jij denkt dat een NDA en een boeteclausule wel werken waar een strafrechtelijke vervolging dat niet doet?

Dat is dezelfde logica als de maximumsnelheid verlagen omdat mensen steeds te hard rijden...

TheVivaldi @Verwijderd • 1 januari 2021 12:18

Dat is dezelfde logica als de maximumsnelheid verlagen omdat mensen steeds te hard rijden...

Wat sowieso niet werkt, want als je ziet hoe hard mensen soms rijden op 30- en 50km-wegen...

GenGF @TheVivaldi • 1 januari 2021 19:57

En dat er op de snelweg, waar voorheen 130 gereden mocht worden, nog steeds 130 gereden wordt. Dergelijke regels bieden over het algemeen weinig afschrikking in Nederland lijkt het.

TheVivaldi @GenGF • 1 januari 2021 20:00

Dat ook, ja.

Patientzero @GenGF • 1 januari 2021 21:25

Dat ze er overheidshalve er een maatregel door duwen die is gebaseerd op een leugen, tsja.. burgerlijke ongehoorzaamheid is hier wel te begrijpen.

Dnomyar96 @GenGF • 4 januari 2021 11:55

En dat er op de snelweg, waar voorheen 130 gereden mocht worden, nog steeds 130 gereden wordt. Dergelijke regels bieden over het algemeen weinig afschrikking in Nederland lijkt het.

Dat komt waarschijnlijk ook doordat er maar weinig gehandhaafd wordt. Ik rijd ondertussen 2 jaar dagelijks hetzelfde traject en heb er echt nog nooit een controle gezien. Sterker nog, er rijd een motoragent rond die daar nog steeds met rond de 150 langs raced (elke keer dat ik hem zie, zonder lampen en lawaai). Dat helpt natuurlijk ook niet om mensen aan de snelheid te laten houden (wat hier haast niemand doet, ik rijd hier ook standaard 10-20 km te hard (wat dus vrij gemiddeld is hier)).

Verwijderd @Dnomyar96 • 8 januari 2021 10:02

Nederland is het land waar ter wereld per kilometer weg de meeste boetes ter wereld worden uitgedeeld. En erg laag zijn ze ook niet. Dus dat argument gaat gewoon echt niet op

Dnomyar96 @Verwijderd • 11 januari 2021 11:17

Dat verbaast me best. Want zoals ik zei wordt waar ik dagelijks rijd nooit gecontroleerd. Misschien dat flitspalen op andere drukke plekken veel boetes uitdelen, maar dat doet nog weinig voor de gebieden waar die niet staan (en hier in de regio staat er 1 in een straal van 30 km).

mae-t.net @TheVivaldi • 1 januari 2021 20:30

Dezelfde mensen die 70 reden op 80-wegen, rijden nu 70 op 60-wegen dus je kunt precies aanwijzen wie totaal onoplettend rijdt. Dat dan weer wel, maar helpen doet het inderdaad niet.

Auto-vergelijkingen zijn meestal een slecht plan als je iets echt duidelijk wilt maken. Die boodschap is dan weer vooral aan Mecallie gericht.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 19:14]

Nystran @T.C • 2 januari 2021 13:25

Ik vrijwel altijd, je kan moeilijk harder als er 10 auto's voor je zitten.

Toegegeven, ik kom vooral op druk-bereden 80 km wegen. Zelf zie ik ook geen noodzaak om harder te rijden.

mae-t.net @Nystran • 4 januari 2021 16:59

Met 10 auto's voor je, is de kans heel groot dat je ongeveer 70 tot 75 rijdt omdat dat nodig is om een rij te laten ontstaan als iedereen anders ongeveer rond het maximum zou rijden, zie ook het harmonica-effect. 75 op de GPS bedoel ik dan. Als je op een 80-weg de wijzer op je dashboard ergens tussen de 85 en 90 houdt, zit je meestal goed en lopen achterliggers ook niet op je in als ze zich ook redelijk aan de snelheid houden. Juist op zulke wegen is het soms gevaarlijk om in je eentje of als voorste langzamer dan 80 te gaan; niet alleen vanwege rijvorming maar je krijgt dan ook vaker dan gemiddeld dat er nog net even iemand uit een zijweg voorpiept of oversteekt. Ik probeer dat zelf ook wel eens uit op langere ritten voor de afwisseling.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 19:14]

ATS @T.C • 2 januari 2021 19:27

Ik rij vrijwel nooit te hard. En ik ben geen bejaarde of vrouw.

GeoBeo @Aganim • 1 januari 2021 11:23

Sowieso bijzonder onprofessioneel om inloggegevens van je oude baas te misbruiken, wat mij betreft zou zo'n werknemer bestraft dienen te worden ipv beloond met een directiefunctie. Zegt ook wel iets over het moreel kompas bij Ticketmaster.

Sinds wanneer mogen we ervan uitgaan dat bedrijven (of mensen) een moreel kompas hebben?

Als dat zo was, dan hadden wetten en regels geen bestaansrecht.

wmkuipers @rijnsoft • 1 januari 2021 10:27

Niet alles hangt aan SSO, dit kwam op mij over alsof er nog toegang mogelijk was met een serviceaccount

Blokker_1999

Hackers
Politiek en recht
Verenigde staten
Rechtszaak
Beveiliging en antivirus

@wmkuipers • 1 januari 2021 10:49

Dan heb je alsnog je wachtwoordbeheer niet op orde. Ook de wachtwoorden van serviceaccounts moeten regelmatig gewijzigd worden. Doe je dat niet loop je net dit soort van risico. En een service account staat natuurlijk los van het feit of er SSO gebruikt wordt.

Orangelights23 @Blokker_1999 • 1 januari 2021 11:51

Klinkt op papier leuker dan praktijk. Vele policies bij vorige klanten van mij, waar ik ook een deel beleid heb opgesteld, focussen op controle van serviceaccounts i.p.v. wachtwoorden wijzigen. Er is te veel samenhang met andere systemen bij serviceaccounts, waardoor wijzigingen niet altijd helder zijn qua gevolgen, ook al is je change management proces zeer volwassen.

Transportman @Blokker_1999 • 1 januari 2021 11:39

Bij een klant waar ik zit moeten gebruikers iedere maand hun wachtwoord wijzigen en hebben gebruikers voor verschillende acties aparte accounts waar aparte wachtwoordeisen aan zitten, maar voor serviceaccounts is de policy dat wachtwoorden nooit verlopen of aangepast hoeven te worden.

Ik moet er ook niet aan denken wat er allemaal gedaan moet worden om een wachtwoordwijziging door te voeren, hoeveel gezeik daarbij komt kijken omdat alles bij die klant over diverse lagen heen moet, waar bij iedere laag ook nog eens de kans is dat ze op dat moment nog even extra wijzigingen in de applicatie/infra willen proppen die niets met de wachtwoordwijziging te maken hebben.

Helaas is dit soort zaken bij wel meer bedrijven niet goed geregeld.

MrItsJ @Transportman • 2 januari 2021 11:56

iedere maand je wachtwoord wijzigen?
dat gaat zwaar ten koste van de veiligheid ( want: random wachtwoorden: je schrijft ze op, maakt er een serie van ( vast woord en de maand bijvoorbeeld )

niets mis met een mooi wachwoord ( 3 woorden zonder relatie, lengte is hier het belangrijkste ) en een vlot werkend mfa mechanisme

voor serviceaccounts: random (want dat kan niemand onthouden ), lang wachtwoord (20 + karakters )
rechten enkel geven waar de service voor gebruikt wordt.

Transportman @MrItsJ • 2 januari 2021 13:03

Dat is helaas wel wat ik nu dus aan het doen ben, de wachtwoorden lopen in serie op. Ze in Keepass zetten kan ook niet echt, want het Windows-wachtwoord moet ik toch invoeren voordat ik bij Keepass kan.

Serviceaccounts zijn de wachtworoden wel random en lang (geen idee hoe lang precies), rechten staan redelijk strak afgesteld al komen daar af en toe ook wat verrassingen te voorschijn omdat het inregelen van die rechten met enige regelmaat niet overeenkomt met wat je hebt aangevraagd (schrijf- i.p.v. leesrechten, niet toegekende rechten op bepaalde resources, mensen die de aanvraag doen die geen idee hebben wat ze doen) en doordat het zo een puinzooi is, ruimt niemand ook oude rechten op.

Sandwalker

@rijnsoft • 1 januari 2021 11:49

Het mag natuurlijk niet. Daarna hoort de zin gewoon op te houden. Daar gaat deze schikking over.
Het heerschap wat de credentials oneigenlijk gebruikte lijkt door de schikking de dans te ontspringen en dat is natuurlijk niet goed. Het lijkt verdorie wel diplomatieke onschendbaarheid. Hier mag iemand best persoonlijk voor worden aangesproken.

P_Tingen @Sandwalker • 1 januari 2021 15:00

Zeker, maar daarnaast is het behoorlijk sukkelig, dom, onhandig én onprofessioneel van Songkick om een situatie te hebben die dit mogelijk maakt. Accounts zouden op inactief moeten komen en het gebruik van "geheime" url's zonder beveiliging is natuurlijk vragen om problemen.

Dus nee, wat die ex-medewerker gedaan heeft mag niet, dat Ticketmaster het vervolgens systematisch gebruikt is verachtelijk en dat de medewerker in kwestie een promotie krijgt is helemaal van de ratten besnuffeld, maar Songkick heeft verdorie toch ook wel op zijn minst een klein beetje de morele plicht om de eigen intellectuele eigendommen te beschermen.

j1b2c3 @P_Tingen • 2 januari 2021 06:55

Service accounts worden de wachtwoorden zelden van gewisseld dat is bij gigantisch hoeveelheid bedrijven zo. De User accounts dat is een ander verhaal. Daar woorden wel minimaal jaarlijks veranderd of komen te vervallen.
Transportman geeft het prima hier boven aan. Bij deze accounts hier het niet zomaar effe een wachtwoord wisselen en klaar.
Daar kunnen gigantische gevolgen achter zitten of kan alleen maar na een complete herstart door gevoerd worden... Vrij onwenselijk in een. 24/7 omgeving. En tevens weet je niet wat er allemaal aan doet hangen .

P_Tingen @j1b2c3 • 2 januari 2021 10:35

Dan zou je toch zeker 2fa aan moeten hebben op je service accounts lijkt me

MrItsJ @P_Tingen • 2 januari 2021 11:51

best onhandig
service accounts ontneem je zo veel mogelijk rechten en maakt het wachtwoord onnoemelijk lang, maar wijzigen ... neu ...

robvanwijk

Hackers
Verenigde staten
Politiek en recht

@rijnsoft • 1 januari 2021 14:50

Accounts deactiveren van vertrekkende medewerkers is een basis dingetje.

Voor een deel wel, maar voor een deel ook niet:

Naast inloggegevens had de werknemer ook nog toegang tot webpagina's waarop Songkick tickets verkocht. Die pagina's waren niet beveiligd met een wachtwoord, maar waren alleen te vinden door wie de url wist.

Even ervan uitgaande dat er een goede reden is om geen wachtwoord op die pagina's te zetten: je kunt moeilijk na het vertrek van elke werknemer al die URLs aanpassen.

Andy Wachelder @rijnsoft • 1 januari 2021 16:16

"Accounts deactiveren van vertrekkende medewerkers is een basis dingetje." Waar staat dat ze dat niet gedaan hebben?
"Daarbij nam hij onder andere wachtwoorden voor het Songkick-systeem mee."
De vertrokken medewerker heeft misbruik gemaakt van kennis over hoe bepaalde zaken zoals URL's opgezet werden én wachtwoorden gestolen... Laat jouw werkgever van alle werknemers/accounts de wachtwoorden veranderen als jij bij hem vertrekt?

ronaldvr @rijnsoft • 1 januari 2021 16:35

Dus als jij je deur open laat staan mag iedereen je TV meenemen? En als die persoon dan voor de rechter staat zeg jij "het mag eigenlijk niet maar dan had ik mijn deur maar niet open moeten laten staan"?

Dit heet in een engelse term "victim blaming" en dát is ook verkeerd.

[Reactie gewijzigd door ronaldvr op 23 juli 2024 19:14]

Ruuddie @rijnsoft • 1 januari 2021 10:07

Ik kwam hier om dit te zeggen. Ik neem aan dat Songkick ook een flinke boete krijgt vanwege datalekken.

cracking cloud @Ruuddie • 1 januari 2021 10:20

Zijn er klantgegevens gelekt dan? Dat kan ik niet terugvinden in het artikel

Lagonas @cracking cloud • 1 januari 2021 10:53

"Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan."

Dus ja, er was een datalek.

cracking cloud @Lagonas • 1 januari 2021 11:54

Zijn er persoonsgegevens gelekt? Dat wordt namelijk nergens vermeld in dit artikel.

supersnathan94

Politiek en recht

@cracking cloud • 1 januari 2021 12:05

Staat er vrij duidelijk in hoor. Er zijn klanten op het systeem in de gaten gehouden. Dat is dus op zijn minst naam en adres. Dus datalek.

cracking cloud @supersnathan94 • 1 januari 2021 12:07

Er staat cliënten, dat kunnen ook organisaties (rechtspersonen/artiesten) zijn

supersnathan94

Politiek en recht

@cracking cloud • 1 januari 2021 12:18

Ja maar van een artiest is het niet te doen om te zeggen “ja maar dat is een rechtspersoon”. Een naam is dan gewoon herleidbaar naar een natuurlijk persoon. Oo voor organisaties gok ik dat er contactgegevens zijn.

Lagonas @cracking cloud • 1 januari 2021 12:08

Zoals ik het lees wel.

Volgens de aanklacht zouden medewerkers van Ticketmaster die specifiek hebben gebruikt om grote cliënten van Songkick af te pakken, en om het bedrijf 'dicht te knijpen'.

Om die klanten af te pakken heb je toch wel gegevens nodig. Daarbij moet ik wel zeggen dat de rechtzaak in in de VS is, en daar uiteraard de regels anders zijn dan hier.

Bensimpel @cracking cloud • 1 januari 2021 22:05

Nouja als iemand uit dienst, hoort standaard dat account ook gewoon dicht te gaan, wat hier niet is gebeurd. Dat is zeker een dingetje. Maar ook als ex medewerker hoor je hier niet misbruik van te maken.

Ik heb dit zelf ook eens meegemaakt, ik was al ruim 1 jaar weg, maar ik krijg opeens een mailtje dat ik mijn ww moet resetten (prive mail). Voor de gein zelf ingelogd in mijn (oude account). Stond nog steeds open tot mijn verbazing. Na 1 mailtje naar de manager van IT, dat ik per x al lang uit dienst was, zijn jullie iets vergeten?

Volgende dag was die dicht.

cracking cloud @Bensimpel • 2 januari 2021 10:42

Ja het was zeker niet goed wat er gebeurd is. 1 ding is dat de medewerker er nog bij kon, iets heel anders is dat ticketmaster dat heeft uitgebuit (en misschien zelfs aangemoedigd heeft)

PCG2020 @Ruuddie • 1 januari 2021 11:41

edit: Reactie op de verkeerde persoon, excuseer.

[Reactie gewijzigd door PCG2020 op 23 juli 2024 19:14]

supersnathan94

Politiek en recht

@PCG2020 • 1 januari 2021 12:09

Nee dit is een hele slechte vergelijking.

Demo accounts op een productie omgeving is niet oke en urls doe je moet weten werkt niet als je generator uitlekt.

Dat laatste moet je sws nooit doen (altijd auth laag ervoor) en dat eerste, tsja. Dat is moedwillig een datalek inbouwen. Iedere keer dat je en demo geeft met data van je klanten (die daar geen toestemming voor geven) is dat een lek dus waarom zou je dat doen? Kan je echt serieus geld kosten.

PCG2020 @supersnathan94 • 1 januari 2021 13:03

NVM, mijn reactie moest elders staan.

Ruuddie @PCG2020 • 1 januari 2021 12:02

Nee hoor want een kort rokje is toegestaan, dus die vergelijking gaat niet op.
Mijn punt is dat bedrijven vaak veel te laks omgaan met credentials van hun medewerkers. Iemand die uit dienst gaat, moet nergens meer bij kunnen komen. Als je dat niet voor elkaar hebt, ben je een magneet voor datalekken.

theduke1989 @rijnsoft • 2 januari 2021 01:22

Deactivate van een ad-ds account heeft weinig impact. Hij kan zo andere accounts aanmaken. Of van andere medewerkers / administrators hebben overgenomen. Gewoon een VPN tunnel opzetten inloggen via VPN of Citrix bijvoorbeeld en gaan met die banaan

Bruin Poeper 1 januari 2021 10:40

Als niet-professional verbaas ik me over de reacties die er van uit gaan dat veiligheid afhankelijk is van eerlijke medewerkers. Volgens mij moet het vanuit het systeem komen. Als je dat niet op orde hebt deugt je systeem niet en maakt de gelegenheid de dief.
En dan is de systeembouwer aansprakelijk.

Orangelights23 @Bruin Poeper • 1 januari 2021 11:53

Social engineering is zo’n 80-90% de reden waardoor dit soort scenario’s voorkomen. Dus ja, veiligheid begint bij je medewerkers en hun integriteit. Systemen zijn de tweede line of defense.

rijnsoft @Orangelights23 • 1 januari 2021 15:50

Dus ja, veiligheid begint bij je medewerkers en hun integriteit

Je hebt volstrekt gelijk, helaas werkt het in de praktijk anders. Bijvoorbeeld: Politieagenten die data benaderen voor privé doeleinden. Ik kan zo tientallen andere voorbeelden geven. In de gezondheidszorg bijvoorbeeld. Vaak zijn de systemen toch de eerste verdedigingslinie.
Laten we het er op houden dat beide zaken op orde moeten zijn: De integriteit van medewerkers, maar de systemen moeten misbruik ook niet te makkelijk maken.

Orangelights23 @rijnsoft • 1 januari 2021 19:55

Ik snap je comment niet helemaal, ik heb het over hoe beveiliging werkt, niet hoe het wel/niet theoretisch werkt. Ik weet dat in de praktijk vele fouten en datalekken komen door onbewust en onbekwaam handelen van medewerkers.

ctrl-tab @Bruin Poeper • 1 januari 2021 12:56

Je kan een systeem nog zo veilig maken, er zitten nog altijd mensen aan de knoppen.
Mensen zijn niet voor te programmeren, je kan ze hoogstens opleiden en hopen dat ze er iets mee doen.

Dit nog los van de offers die je moet maken om je systeem zo veilig mogelijk te maken.
Je levert doorgaans in op flexibiliteit en slagkracht (bv innovatie) en dat helpt je bedrijfsvoering ook niet echt ...

thegve @ctrl-tab • 1 januari 2021 14:00

Ergens heb je natuurlijk een punt, maar een gemiddeld MKB bedrijf disabled nog de accounts van medewerkers die vertrekken. Dit is gewoon wel een extreem laag niveau van beveiliging.
Accounts op naam die je disabled na vertrek is nou niet direct een "offer dat je moet maken".

robvanwijk

Hackers
Verenigde staten
Politiek en recht

@Bruin Poeper • 1 januari 2021 15:27

Als je dat niet op orde hebt deugt je systeem niet en maakt de gelegenheid de dief.
En dan is de systeembouwer aansprakelijk.

Dus als iemand jouw huis leeg steelt, dan is de "systeembouwer" (degene die de sloten heeft uitgekozen, met andere woorden: jijzelf) aansprakelijk?

Dat Songbird steken heeft laten vallen (daar is iedereen het denk ik wel over eens), betekent nog niet dat je dan opeens in mag breken. Zelfs als er geen enkele vorm van beveiliging op zit, dan is het nog steeds computervredebreuk (als de inbreker redelijkerwijs had moeten weten dat ie daar niet mocht komen).

Bruin Poeper @robvanwijk • 1 januari 2021 22:01

[...]

Dus als iemand jouw huis leeg steelt, dan is de "systeembouwer" (degene die de sloten heeft uitgekozen, met andere woorden: jijzelf) aansprakelijk?

Zelfs als er geen enkele vorm van beveiliging op zit, dan is het nog steeds computervredebreuk (als de inbreker redelijkerwijs had moeten weten dat ie daar niet mocht komen).

Natuurlijk is die inbreker een slechterik, maar wat koop je daar voor?

Met investeringen in betere sloten, stalen deuren, alarminstallaties, brandkast-kluizen kan je de schade beperken/voorkomen. Als je te zuinig bent maakt dat jou niet tot slechterik maar wel tot domoor die zijn geld niet waard was (als je beveiliging als dienst leverde).

Groningerkoek @Bruin Poeper • 2 januari 2021 00:59

Het maakt natuurlijk niet uit hoe duur de sloten zijn in dit geval, dit gaat om iemand die om bij het voorbeeld te blijven in het huis woonde en de sleutels had en daarna verhuisde. De enige betrouwbare manier is het vervangen van de cylinders en de codes van de alarmsystemen. In dit geval heeft Songkick in mijn ogen ernstige nalatigheidheid getoond door wachtwoorden/inlogtoestemmingen van een vertrekkende medewerker niet te vervangen of laten vervallen. Het praat de overtreding niet goed, maar het staat bij mij wel gelijk aan de achterdeur open laten staan van je woning.

justinkb 1 januari 2021 10:35

Lijkt me een relatief lage straf. Dit is toch gewoon feitelijk bedrijfsspionage?

CH4OS @justinkb • 1 januari 2021 11:18

Een schikking is géén straf, dat krijg je alléén bij een veroordeling.

justinkb @CH4OS • 1 januari 2021 12:03

De geldboete is onderdeel van de schikking, een boete is per definitie een straf natuurlijk

supersnathan94

Politiek en recht

@justinkb • 1 januari 2021 12:20

Het is een straf, maar geen schuldbekentenis.

Verkeersboetes zijn ook schikkingen en daarop staat expliciet dat overgaan tot betaling geen schuldbekentenis is. Best wel flauw eigenlijk want daardoor loont het ook heel erg om onterecht boetes uit te schrijven.

CH4OS @justinkb • 1 januari 2021 12:13

Maar bij een schikking is er geen veroordeling en dus ook geen straf. Je kunt dus ook niet zeggen dat er een boete is opgelegd. Dat is slecht verwoord door Tweakers.

Lagonas @CH4OS • 1 januari 2021 12:38

Dat is niet slecht vertaald, het staat letterlijk in het vonnis:

Earlier today in federal court in Brooklyn, Ticketmaster L.L.C. (Ticketmaster or the Company) agreed to pay a $10 million fine to resolve charges that it repeatedly accessed without authorization the computer systems of a competitor.

CH4OS @Lagonas • 1 januari 2021 12:48

Raar dat het dan later in hetzelfde bericht opeens een penalty is;

Under the terms of the deferred prosecution agreement, Ticketmaster will pay a criminal penalty of $10 million and will maintain a compliance and ethics program designed to prevent and detect violations of the Computer Fraud and Abuse Act and other applicable laws, and to prevent the unauthorized and unlawful acquisition of confidential information belonging to its competitors.

Tomatoman @CH4OS • 1 januari 2021 17:08

Er staat criminal penalty. Ik zie niet hoe je dat niet als straf kunt interpreteren. Er is geen veroordeling nodig om een straf op te leggen als onderdeel van een schikking – dat is nou net de hele gedachte achter een schikking.

downtime @justinkb • 1 januari 2021 13:01

Lijkt me een relatief lage straf. Dit is toch gewoon feitelijk bedrijfsspionage?

Over een schikking wordt gewoon onderhandeld tussen justitie en de aangeklaagde en is niet meer dan een manier om zonder dure, tijdrovende en riskante juridische procedures de zaak af te sluiten. Misschien is justitie niet 100% overtuigd dat ze een veroordeling rond kunnen krijgen, en wil de aangeklaagde niet het risico van een veroordeling en veel zwaardere boetes nemen, dan is een schikking een compromis.

jongetje

1 januari 2021 10:08

Natuurlijk niet slim om het op een speciaal gegenereerde url beschikbaar te zetten zonder wachtwoord. Daarnaast natuurlijk niet handig om de wachtwoorden niet te wijzigen als iemand uit dienst gaat (of nog beter, alleen met gepersonaliseerde accounts te werken).

Maar je bent natuurijk niet goed bezig als je zo handelt tegenover je vorige werkgever... (en dat ticket master dit aanmoedigde).

Lounge Deluxe

@jongetje • 1 januari 2021 10:21

Voor de betreffende ex-SongKick medewerker krijgt dit verhaal in 2021 nog een flink financieel en wellicht ook strafrechtelijk staartje. En Songkick zal ook nog wel een civiele zaak tegen Ticketmaster startten om schadevergoeding te eisen.

MeMoRy @jongetje • 1 januari 2021 10:24

"Niet goed bezig" vind ik een understatement. Dat insinueert mijn inziens dat het iets ethisch/moreel zou zijn. Maar dit is gewoon verboden bij wet.

jpsch 1 januari 2021 17:11

Een boete betaal je toch aan de overheid? Dit is toch gewoon een compensatie bedrag aan Songkick? Of is Songkick gemachtigd boetes op te leggen?

[Reactie gewijzigd door jpsch op 23 juli 2024 19:14]

Groningerkoek @jpsch • 1 januari 2021 19:27

De boete is onderdeel van de schikking en inderdaad wordt deze aan de staat betaald voor de strafbare handelingen, daarnaast kan een schadevergoeding ook nog deel van de schikking uitmaken of Songkick heeft gewacht en gaat met deze uitspraak in de hand schadevergoeding eisen wat nu veel gemakkelijker is daar de schuldvraag beantwoord is.

GoT 1 januari 2021 10:31

Ik vraag me af wat Songkick krijgt ter compensatie voor gederfde inkomsten.
De miljoenenboete gaat in ieder geval niet naar Songkick toe.

CH4OS @GoT • 1 januari 2021 11:19

Een schikking is een overeenkomst tussen de twee partijen, Tweakers verwoord het wat ongelukkig. De 10 miljoen gaat dus naar Songkick.

[Reactie gewijzigd door CH4OS op 23 juli 2024 19:14]

downtime @CH4OS • 1 januari 2021 12:52

Een schikking is een overeenkomst tussen de twee partijen, Tweakers verwoord het wat ongelukkig. De 10 miljoen gaat dus naar Songkick.

Het is een schikking tussen Ticketmaster en de aanklagers. Daar wordt justitie doorgaans mee bedoeld. Schikkingen dienen om te voorkomen dat beide partijen geld en mankracht moeten spenderen aan (soms jarenlange) juridische procedures. Het geld gaat gewoon naar de staat. In ruil voor de medewerking aan de schikking zal de boete meestal relatief laag uitvallen.

Schikkingen tussen twee private partijen, zoals Ticketmaster en Songkick, komen inderdaad ook voor. Ik veronderstel dat Ticketmaster en Songkick ook onderling wel in gesprek zullen zijn over een aparte schikking.

robvanwijk

Hackers
Verenigde staten
Politiek en recht

@downtime • 1 januari 2021 15:18

Schikkingen tussen twee private partijen, zoals Ticketmaster en Songkick, komen inderdaad ook voor. Ik veronderstel dat Ticketmaster en Songkick ook onderling wel in gesprek zullen zijn over een aparte schikking.

Hoe het in dit specifieke geval zit kan ik niet zeggen, maar als je in de VS een schikking treft met justitie zit daar nagenoeg altijd een clausule aan vast dat je geen schuld bekend. Iedereen weet prima dat je keihard schuldig bent, maar strikt genomen komt het neer op "We betalen miljoenen dollars, niet omdat we iets fout gedaan hebben, maar omdat we geen zin hebben in een rechtszaak. Die zouden we uiteindelijk wel winnen, maar dat duurt zo lang en kost zoveel, dat dit voor ons beter is.".

Als Songkick bij Ticketmaster aan komt kloppen, dan zal Ticketmaster met een stalen gezicht zeggen "schikken? waarvoor? we hebben toch niets fout gedaan?". De vraag is dus vooral of Songkick genoeg financiële reserves heeft om de rechtszaak (waar Justitie zelf geen zin in had) wél tot het bittere eind uit te vechten. Als ze dat geld niet hebben (of, nog zuurder, als ze dat geld niet meer hebben omdat Ticketmaster hun beste klanten heeft gestolen), dan komt Ticketmaster hier zonder problemen mee weg. (Ja ja, ze moeten een paar miljoen boete betalen; da's een koopje om een concurrent niet alleen uit de markt te duwen, maar ook nog eens hun klanten over te nemen.) TL;DR: misdaad loont.

8088 @CH4OS • 1 januari 2021 12:46

Tweakers verwoordt het prima: de twee partijen zijn Ticketmaster en het OM. De boete ('fine' zoals te lezen valt in het persbericht) is onderdeel van de schikking die Ticketmaster treft met het OM. Songbird is hierin geen partij. En de boete wordt betaald aan de United States Treasury, zoals te lezen valt in het uitgebreide persbericht (PDF).

koelpasta @CH4OS • 2 januari 2021 15:49

De 10 miljoen gaat dus naar Songkick.

Nee, dat is niet waar. Ticketmastere is aangeklaagd door de overheid dus daar gaat dat geld ook heen.

jordynegen11 1 januari 2021 11:10

Die pagina's waren niet beveiligd met een wachtwoord, maar waren alleen te vinden door wie de url wist. De werknemer wist hoe de url's ervan gegenereerd werden.

Wat ticketmaster deed was uiteraard gewoon bedrijfspionage en moet keihard afgestraft worden.

Echter is bovenstaande wel heel erg slecht en uiteindelijk vragen om "gehackt" te worden. Wie dat zo verzonnen heeft en wie dit goedgekeurd heeft moeten ook gelijk de deur uit worden getrapt. man man man

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 19:14]

kevz 1 januari 2021 15:46

Kan Ticketmaster niet opgeheven worden, het is letterlijk en figuurlijk een scalping-bedrijf dat niets toevoegt aan de samenleving.

Niekleair @kevz • 2 januari 2021 21:15

In Noord Amerika leveren ze ook diensten. Bijvoorbeeld NHL tickets (IJshockey) kun je officieel alleen via ticketmaster krijgen (de sites van de clubs en de league linken naar Ticketmaster). Hoewel daar wel een oplosing voor komt als ze opgeheven worden. Een beetje zoals veel restaurants in Nederland hun online besteldienst aan thuisbezorgd gekoppeld hebben.

mutley69 1 januari 2021 17:16

Ticketmaster gaat als eerste in 2021 op mijn zwarte lijst - wie dat doet met concurrenten, zet ook z'n klanten in't zak.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (103)

Sorteer op:

Weergave: