Die britische Datenschutzbehörde hat die britische Niederlassung von Ticketmaster mit einer heftigen Strafe belegt. Ticketmaster ist eine US-Ticketverkaufs- und Vertriebsunternehmen. 2018 waren Hacker über einen Ticketmaster-Bot eingedrungen und hatten persönliche Daten von 9,4 Millionen Personen kompromittiert. Ticketmaster sagte „War nicht unsere Schuld“. Die Datenschutzbehörde sieht das jedoch ganz anders.

Der Einbruch begann im Februar 2018, wurde erst im April entdeckt. Damals hatten verschiedene internationale Banken erkannt, dass die Kreditkarten ihrer Kunden missbraucht worden waren. Alle Kunden hatten sie zuvor auf der Website von Ticketmaster zur Zahlung eingesetzt. Betroffen waren internationale Kunden, die zwischen September 2017 und Ende Juni 2018 Veranstaltungstickets gekauft hatten. Britische Kunden waren nur im Zeitraum Februar bis Juni 2018 betroffen. Ticketmaster wird sich also noch weiteren Strafen aus anderen Stellen müssen.

Datenpanne mit 1,25 Millionen Pfund Strafe belegt

Die britische Datenschutzbehörde machte von der neuen Datenschutzverordnung gebraucht, die im Mai 2018 in Kraft trat. Die Strafe betraf also nur den Teil der Datenpanne im Zeitraum Mai bis Juni. Ob der davor liegende Zeitraum noch nach altem Strafrecht abgehandelt wird, wurde nicht gesagt. Insgesamt muss Ticketmaster 1,25 Millionen britische Pfund zahlen.

Ticketmaster hatte die Infektion mit dem Magecart Card Skimmer erst entdeckt, nachdem es schon viel zu spät war. Tatsächlich wurde man erst aktiv, als jemand auf Twitter erklärte, dass Javascript auf einer Zahlungsseite eine schlechte Idee sei. Das Unternehmen solle endlich aufwachen und etwas dagegen tun. Inzwischen waren aber schon Daten von 9 Millionen Kunden in aller Welt von Hackern gestohlen worden.

Erste Bank, die bemerkte, dass etwas nicht in Ordnung war, war die ausschließlich online operierende Monzo Bank. Sie verband den Vorfall mit einer zuvor getätigten Zahlung auf der Ticketmaster-Seite. Der betroffene Kunde hatte wahrlich Glück gehabt. Er hatte sich beim Karten-Ablaufdatum vertippt. Tags darauf wurde seine Karte für eine betrügerische Transaktion verwendet. Dasselbe falsche Ablaufdatum wurde dabei verwendet. Das machte den Mitarbeiter der Monza Bank stutzig. Das war im Februar – Monza Bank meldete Ticketmaster den Vorfall sofort. Ticketmaster reagierte erst neuen Wochen später darauf.

Inzwischen hatten auch andere Banken dubiose Vorgänge entdeckt. Sowohl The Commonwealth Bank of Australia, Mastercard, Barclaycard und American Express meldeten diese im April 2018. Doch Ticketmaster leugnete bis Mai, dass es einen Datenpanne hatte. Erst im Juni merkte man dort, dass etwas nicht stimmte. Ermittler fanden heraus, dass 60.000 Kreditkarten von Kunden der Barclays Bank betrügerisch eingesetzt wurden. Weitere 6.000 Kunden der Monzo Bank erging es genauso. Allen Kunden wurden neuen Kreditkarten ausgestellt von ihren Banken.

Ticketmaster werden viele Versäumnisse im Bereich IT-Sicherheit vorgeworfen

Die Datenpanne nahm ihren Anfang, als Ticketmaster sich dafür entschied, einen Javascript-gesteuerten Chatbot auf seinen Bezahlseiten einzusetzen. Die Hacker konnten den Javascript kompromittieren. Die britische Datenschutzbehörde schrieb in ihrer Urteilsbegründung, dass „Ticketmaster hätte mehr tun müssen, um das Risiko einer Cyber-Attacke zu reduzieren“.

Die britische Behörde legte noch nach und schrieb:

„Ticketmaster hat nicht einmal angemessen getestet, bewertet oder beurteilt, ob die Sicherheitsmaßnahmen, die zwischen dem Chatbot und seiner eigenen Zahlungsseite betrieben wurden, ausreichend waren.“

Ticketmaster gestand selbst ein, dass es nicht einmal überwacht hatte, wie oft der Betreiber Inbenta Technologies sein Javascript aktualisierte. Das sei ein klarer Verstoß gegen alle Regeln und Richtlinien für Javascript- und Zahlungsseiten, so die Behörde.

Ticketmaster selbst sieht sich hier als unschuldig. Man nehme immer den Datenschutz und das Vertrauen der Fans sehr ernst, ließen sie verlauten. Seit der Datenpanne gegen das Javascript von Inbenta Technologies habe man der Behörde seine volle Kooperation angeboten. Ticketmaster hat vor, gegen das Urteil Berufung einzulegen. Auch Inbenta Technologies hatte sich 2018 zum Vorfall geäußert:

„Hätten wir gewusst, dass unser Skript auf diese Weise eingesetzt wird, hätten wir davon abgeraten, da es eine Sicherheitsbedrohung darstellt.“

Ticketmaster Datenpanne kein Einzelfall

Sicherheitsforscher von RiskIQ hatten schon 2018 nachgewiesen, dass der Inbenta-Script-Angriff kein Einzelfall gewesen war. Vielmehr gab es damals schon viele Hinweise, dass es eine groß angelegte Aktion sei. Es gab viele erfolgreiche Einbrüche bei verschiedenen Drittanbietern. Eine davon war Inbenta Technologies. Andere waren die Social-Media-Integrationsfirma SociaPlus, die Webanalysefirmen PushAssist und Annex Cloud sowie die CMS-Plattform Clarity Connect. Es gab noch eine Reihe anderer betroffener Drittanbieter. Bekannt ist inzwischen, dass die Magecart Hackergruppe hinter dem Vorfall steckt. Ihre Spezialität ist es, Zahlungs-Skimmer in anfällige Webseiten-Komponenten einzuschleusen.

Die RiskIQ Forscher bestätigten auch, dass sie Beweise dafür gefunden hätte, dass der Skimmer auf einer breiteren Palette von Ticketmaster-Websites aktiv war als bisher bekannt. Dazu gehörten die Ticketmaster-Webseiten für Irland, die Türkei und Neuseeland. Vermutlich kommen also noch einige andere Strafen auf Ticketmaster zu.

Artikel von theregister.com, 13.11.2020: Ticketmaster cops £1.25m ICO fine for 2018 Magecart breach, blames someone else and vows to appeal
Artikel von threatpost.com, 13.11.2020: Ticketmaster Scores Hefty Fine Over 2018 Data Breach

Beitragsbild: Public Domain, Creative Commons CC0 von Jimmy Chan auf pexels.com