Ticketmaster datalek: 560 miljoen persoons- en creditcard gegevens buitgemaakt

In dit artikel bespreken we de verantwoordelijkheid van het Ticketmaster datalek van 560 miljoen persoons- en creditcard uit hun klantensysteem.

Hoe zit dat met de cyberaanval op Ticketmaster, waarbij onlangs een hackersgroep gegevens van 560 miljoen Ticketmaster-klanten heeft buitgemaakt? Bij wie ligt de verantwoordelijkheid voor dit datalek - is dat Ticketmaster zelf, of konden zij hier weinig aan doen? Hoe wij dat vanuit cybersecurity oogpunt zien bespreken we in dit artikel.

Wat betekent het Ticketmaster datalek?

Eind mei leidde een datalek in een clouddienst van Ticketmaster tot een hack door de groep ShinyHunters. Zij claimen de namen, adressen, mailadressen, telefoonnummers, creditcardgegevens en ticket aankopen van Ticketmaster klanten over de hele wereld te hebben buitgemaakt.

Deze gegevens worden als eenmalige aanbieding voor €463.000 aangeboden via het dark web - een koopje voor zo'n goudmijn voor (cyber)criminelen. Zij kunnen deze informatie namelijk gebruiken om mensen gericht te benaderen via verschillende phishing-technieken om ze uiteindelijk geld afhandig te maken. Ook kunnen ze deze gegevens gebruiken voor identiteitsfraude door bijvoorbeeld online services af te nemen, abonnementen af te sluiten, of zich in te schrijven of te verifiëren bij officiële instanties op naam van de slachtoffers.

Met andere woorden, het kan een hoop narigheid opleveren als cybercriminelen misbruik maken van jouw persoonsgegevens.

Is Ticketmaster verantwoordelijk voor het datalek?

Je mag als consument verwachten dat grote organisaties zoals Ticketmaster veilig omgaan met je data. Gelukkig hebben we daar dan ook uitgebreide regelgeving voor. Zo is er de privacywetgeving GDPR (AVG) die ook geldt voor een Amerikaanse organisatie zoals Ticketmaster als ze zaken doen binnen de EU.

Maar deze wetgeving stelt slechts dat organisaties "passende maatregelen" moeten treffen om misbruik en diefstal van de persoonsgegevens die ze opslaan te voorkomen. Ergens is het belangrijk dat de wetgeving hier ruimte laat voor eigen invulling van hoe organisaties passende maatregelen treffen, want de technieken van cybercriminelen veranderen continu en zo ook de cybersecurity technieken die deze nieuwe technieken moeten weerhouden.

Toch mogen we als maatschappij best strenge cybersecurity verplichtingen aan zulke (grote) organisaties opleggen. Een datalek van 560 miljoen klanten is ook een dermate grote hoeveelheid dat zeker onderzocht moet worden of Ticketmaster voldoende cyber security maatregelen heeft getroffen om de veiligheid van persoonsgegevens te bewaren. Dit zien we met de NIS 2 nu gelukkig ook verankerd worden in de wet, waarbij een aantal extra branches wordt verplicht om cybersecurity maatregelen te treffen.

Wat kun je zelf doen in het geval van zo'n datalek?

Als consument heb je vaak weinig keuze hoe je jouw tickets koopt - hoe de tickets worden aangeboden wordt immers bepaald door de organisatie van het evenement zelf. Helemaal niet meer gebruik maken van een organisatie zoals Ticketmaster is daarom ook lastig, maar de volgende tips helpen om zelf goede cyber hygiëne toe te passen:

1. Verander je wachtwoord bij Ticketmaster
2. Houd de creditcard(s) gekoppeld aan Ticketmaster in de gaten op verdachte transacties.
3. Wees na een datalek extra scherp op phishing e-mails, SMS'jes en telefoontjes. Met 560 miljoen slachtoffers kan het natuurlijk even duren voordat dit ingezet wordt.
4. Wees je er bewust van als je een doelwit bent voor cybercriminelen. Zij richten zich bijvoorbeeld specifiek op mensen met veel spaargeld, gebrekkige technologische kennis, oudere leeftijd en een beperkte cybersecurity bewustzijn.