[datensicherheit.de, 29.05.2024] Daten von über einer halben Milliarde Nutzern des Kartenanbieters Ticketmaster sollen seit dem Abend des 28. Mai 2024 zum Verkauf stehen: Da Ticketmaster auch Eintrittskarten für Konzerte in Deutschland verkauft, besteht demnach die Möglichkeit, dass auch deutsche Nutzer betroffen sind. Das Online-Magazin „HACKREAD“ hat gemeldet, dass die Hacker-Gruppe „ShinyHunters“ nach eigenen Angaben insgesamt 1,3 Terabyte an Daten erbeutet habe – diese werden demnach im berühmt-berüchtigten Hacker-Forum dieser Gruppe („Breach Forums“) für 500.000 US-Dollar angeboten.

Bandbreite der geleakten Daten würde Vorfall besonders kritisch machen

Jake Moore, IT-Sicherheitsexperte bei ESET, kommentiert in seiner ektuellen Stellungnahme diesen Vorfall: Die Bandbreite der geleakten Daten mache diesen Vorfall – wenn er sich bestätigen sollte – besonders kritisch: „Neben Klarnamen, Adressen, E-Mail-Adressen und Telefonnummern sollen auch Kreditkarteninformationen wie die letzten vier Ziffern der Kartennummer dazugehören.“

Moore führt aus: „Ob der Vorfall sich definitiv so ereignet hat, ist noch offen. Zudem steht ein offizielles Statement von Ticketmaster zur Zeit noch aus. Unklar ist auch, ob Nutzer über den Vorfall informiert wurden.“ Trotzdem sollten sich alle Kunden dieser Ticketplattform vor möglichen Folgen in Acht nehmen.

Menge persönlicher Daten für alle Betroffenen besorgniserregend

„Die Menge an persönlichen Daten, die bei dieser Sicherheitsverletzung möglicherweise betroffen waren, macht diesen Vorfall für alle Beteiligten besonders besorgniserregend. Da die sensiblen Informationen nun zum Verkauf stehen, müssen eventuell Betroffene extrem vorsichtig sein“, betont Moore und führt weiter aus: „Wichtig ist jetzt: Passwörter ändern und Spam-E-Mails, -SMS und -Anrufe ignorieren, die folgen könnten!“ Vorfälle wie dieser könnten verheerende Auswirkungen auf Nutzer haben – einschließlich Identitätsdiebstahl und Finanzbetrug.

Laut „HACKREAD“ sei dies nicht der erste Cyber-Sicherheitsvorfall bei diesem Kartenanbieter: Bereits im 2023 sei es zu einer Cyber-Attacke auf den Ticketverkauf für Konzerte der bekannten Sängerin Taylor Swift gekommen.

Weitere Informationen zum Thema:

HACKREAD, WAQAS, 28.05.2024
Hackers Claim Ticketmaster Data Breach: 560M Users’ Info for Sale at $500K

HACKREAD, Habiba Rashid, 26.01.2023
Ticketmaster: Taylor Swift ticket sales disrupted by bot-driven attack

[datensicherheit.de, 29.06.2018] Ebenfalls zum „Ticketmaster-Vorfall“ hat James Lyne, Trainer für Cyber-Sicherheit beim SANS Institute, Stellung genommen – die Schwachstelle bei Ticketmaster sollte ernstgenommen werden! Der weltweit tätige Online-Händler für Konzertdaten hatte am 27. Juni 2018 an seine internationalen Kunden eine Warnung herausgegeben, dass aus der weltweiten Kundendatenbank durch Malware in einem Drittprodukt Kunden-, Konto- und Kreditkartendaten gestohlen wurden.

Foto: SANS Institute

James Lyne: Benutzer sollten den Vorfall ernstnehmen!

Ticketmaster informierte potenziell Betroffene

„Die Nachricht, dass etwa fünf Prozent der weltweiten Kundendatenbank von Ticketmaster durch bösartige Software auf einem Drittprodukt gefährdet wurden, wirft eine wichtige Frage auf“, so James Lyne.
Abhängig von der Antwort könnte dies möglicherweise schwerwiegender sein als einige der anderen Schadensvorfälle der jüngsten Zeit. Diese Frage scheine bisher weder durch die Benachrichtigung potenziell betroffener Kunden noch durch die auf einer eigenen Website eingerichtete FAQ-Seite beantwortet worden zu sein, führt Lyne aus.
Positiv zu vermerken sei, dass das Unternehmen den im Rahmen der Datenschutzgrundverordnung (DSGVO) vorgeschriebenen Meldeprozess eingehalten hat: Möglicherweise betroffene Kunden wurden rasch informiert. Auch werde mit den zuständigen Stellen zusammengearbeitet, um dem Problem auf den Grund zu gehen.

Heiße Frage: Wurden Daten im Klartext entwendet?

Lyne: „Die große Frage ist jedoch, ob Benutzerdaten, insbesondere Zahlungsdaten, wie beispielsweise Kreditkarteninformationen, im Klartext verloren gegangen sind oder ob sie verschlüsselt oder gehasht und somit geschützt waren.“
Wenn zum Beispiel die Anwendung eines Drittanbieters in das Frontend des Ticketmaster-Prozesses eingebettet war und Daten aus dem Webbrowser sammelte, sei es sehr wahrscheinlich, dass die Benutzerdaten im Klartext verloren gegangen sind, bevor sie die Datenbank erreichten, „wo sie, wenn Ticketmaster die ,Best Practice‘ befolgt hätte, verschlüsselt und somit geschützt werden sollten“.
Wurde die Drittanbieter-App in die Backend-Prozesse eingebunden, seien solche Fragen rund um das Hashing und die Verschlüsselung relevant. Wenn die Daten schwach gehasht wurden, könnte es für die Cyber-Kriminellen sehr einfach sein, diese wiederherzustellen.

Betroffenes Kreditkartenkonto auf betrügerische Nutzung überwachen!

„Ticketmaster muss den Nutzern mehr Klarheit darüber verschaffen, ob Daten verschlüsselt oder gehasht wurden, damit sie die richtigen Entscheidungen treffen können. In der Zwischenzeit, da Ticketmaster die Benutzer darauf hinweist, sollten sie ihr Passwort sofort ändern und das betroffene Kreditkartenkonto auf eine betrügerische Nutzung überwachen“, empfiehlt Lyne.
Wenn Benutzer das gleiche Passwort irgendwo anders verwendet haben – was sie natürlich nicht tun sollten – sollten sie es auch dort ändern. Benutzer könnten sogar erwägen, ihre Bank zu bitten, ihre Kreditkarte zu sperren und eine neue auszustellen.
„Was auch immer passiert, die Benutzer sollten den Vorfall ernstnehmen“, schließt Lyne.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2018
Wenn über Drittanbieter-Tools die eigene Datensicherheit ausgehebelt wird

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 29.06.2018] Das sogenannte Ticketmaster-Leak hat bei dem britischen Konzertkarten-Anbieter offenbar dazu geführt, dass Angreifer persönliche Informationen wie Adressen, E-Mail-Adressen, Log-in-Daten, Namen, Telefonnummern und Zahlungsinformationen von Kunden dieses Webshops entwenden konnten. Das Datenleck ist offensichtlich eine Malware in einem eingesetzten Drittanbieter-Tool  gewesen, über deren Ursprung derzeit noch Unklarheit bestehen soll. In seinem aktuellen Kommentar nimmt Thomas Ehrlich, „Country Manager DACH“ bei Varonis, Stellung zu diesem ernsten Vorfall:

Foto: Varonis Systems

Thomas Ehrlich, „Country Manager DACH“ bei Varonis

Weniger als 5% betroffene Kunden – aber kein Grund zur Entwarnung

Von der Datenpanne seien offensichtlich nur in Großbritannien ansässige Kunden betroffen, die zwischen Februar und dem 23. Juni 2018 Tickets gekauft haben – dabei handele es sich um weniger als fünf Prozent der Kunden weltweit.
Dennoch sei dies – auch aus deutscher Sicht – „kein Grund zur Entwarnung oder Freude“. Vielmehr zeige dieser Fall, dass Angreifer immer wieder einen Weg in die anvisierten Systeme finden könnten – und sei es über Wege, auf die man keinen oder kaum Einfluss hat, wie in diesem Fall das Tool eines Drittanbieters.

Unternehmen nicht in der Lage, sämtliche Angriffsvektoren zu adressieren

Aus diesem Grund müssten Unternehmen ihre Abwehrmaßnahmen vor allem darauf fokussieren, was sie selbst in der Hand haben und was schützenswert sei – die (Kunden-)Daten. Es zeige sich hierbei nämlich exemplarisch, dass „Unternehmen gar nicht in der Lage sind bzw. sein können, sämtliche Angriffsvektoren zu adressieren“, so Ehrlich.
Stattdessen müssten die sensiblen Daten „ins Zentrum der Sicherheitsstrategie gestellt“ werden. Restriktive Zugriffsrechte nach dem „need-to-know“-Prinzip spielten hierbei ebenso eine entscheidende Rolle wie auch eine intelligente Überwachung des Nutzerverhaltens (UBA).

Intelligente Überwachung des Nutzerverhaltens empfohlen

Durch UBA würden anomale Aktivitäten (wie eben das Aufrufen, Kopieren etc. von Daten in erheblichem Umfang) identifiziert und automatisch blockiert.
Ehrlich: „Was sollten Kunden tun? Ticketmaster hat sicherheitshalber Warnmails auch an höchstwahrscheinlich nicht betroffene Kunden verschickt und ihnen empfohlen, ihre Passwörter zu ändern. Auch sollten diese darüber hinaus in der nächsten Zeit ihre Konto- und Kreditkartenauszüge im Blick haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 28.06.2018] In eigener Sache hat das Ticket-Portal „Ticketmaster“ kürzlich bekanntgegeben, dass in einem Kundendienst-Tool des externen Drittanbieters Inbenta Technologies eine bösartige Software entdeckt worden sei. Dies habe Unbekannten den Zugriff auf persönliche Informationen der Kunden wie Kontaktdaten, Zahlungsdetails und Log-in-Daten ermöglicht. Das betroffene, auf Inbentas Künstlicher Intelligenz (KI) basierende Tool soll den Kunden eigentlich einen besseren Support beim Online-Kauf bieten – mittlerweile sei es auf allen Websites abgeschaltet worden. Joseph Carson, „Chief Security Scientist“ bei Thycotic, kommentiert diesen Vorfall in einer aktuellen Stellungnahme:

Angriffe oft über Drittanbieter

„Dieser jüngste Datenverstoß bei Ticketmaster zeigt wieder einmal, dass Cyber-Kriminelle ihre Opfer gerne über Drittanbieter angreifen und dabei immer öfter auch Technologien wie Künstliche Intelligenz nutzen“, erläutert Carson.
Unternehmen müssten sich dessen bewusst sein und sollten deshalb nicht länger blind darauf vertrauen, dass alle Partner ihre Produkte und Lösungen auch angemessen absichern. Carson: „Cyber-Kriminelle nehmen schließlich immer das schwächste Glied der Kette ins Visier.“

Foto: Thycotic

Joseph Carson zum ersten großen Datenschutzverstoß seit endgültigem DSGVO-Inkrafttreten

Vorfall wohl schlimmer als angenommen

In diesem speziellen Fall glaubt Carson sogar, dass die Datenschutzverletzung „schlimmer sein könnte, als wir bisher annehmen“. Sicherlich seien persönliche Daten, Finanzinformationen und Passwörter abgegriffen worden, die nun im sogenannten Darknet für Cyber-Kriminelle zur Verfügung stünden. Doch viel interessanter wäre es jedoch zu erfahren, ob die Cyber-Kriminellen auch auf die KI-Informationen zugegriffen haben, und diese nun für einen weiteren gezielteren Angriff verwenden.
Auch die vielen anderen Kunden, die Inbenta Technologies einsetzen, würden sich nun fragen, ob sie in irgendeiner Weise betroffen sind. Viele würden wahrscheinlich vorsorglich eine Vorfallsreaktion zur Validierung starten.

Erster großer Datenschutzverstoß seit DSGVO-Inkrafttreten

Dies sei auch der erste große Datenschutzverstoß seit dem Inkrafttreten der EU-DSGVO am 25. Mai 2018. Hierbei werde also genau geprüft werden, ob Ticketmaster die Meldepflichten und Sicherheitsvorschriften eingehalten hat.
„Könnte Ticketmaster das erste Unternehmen sein, das die Sanktionen der DSGVO zu spüren bekommt?“, fragt Carson.

Weitere Informationen zum Thema:

Ticketmaster
INFORMATIONEN ÜBER EINEN SICHERHEITSVORFALL BEI EINEM DRITTANBIETER

datensicherheit.de, 10.04.2016
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken