easyGDPR

We make implementing General Data Protection Regulation Easy

by

Ticketmaster UK Limited – Hackerangriff


Ticketmaster UK Limited erhielt eine DSGVO Strafe in der Höhe von 1.392.525 aufgrund eines Hackerangriffes auf den Server. Die Daten waren bei ihrem Subdienstleister Inbenta gespeichert. Die Hacker konnten über den Chat-Bot auf Kreditkarteninformationen zugreifen, indem sie diesen manipuliert haben.

Im Zeitraum vom Februar 2018 bis zum 23. Juni 2018 ist es Hackern gelungen, Namen und Kreditkartendaten auf einer manipulierten Zahlungsseite von Ticketmaster abzugreifen. Potentiell sind 9,4 Mio. Kreditkarteninhaber betroffen. Die Barclays Bank berichtet von ca. 60.000 kompromittierten Kreditkarten und die Monzo Bank tauschte 6.000 Karten aufgrund des Verdachts auf Betrugsfälle aus. 

Der Vorfall wurde bekannt, indem am 6. April 2018 50 Kunden der Monzo Bank betrügerische Transaktionen mit ihren Kreditkarten anzeigten. Am 16. April 2018 hat Monzo Ticketmaster daraufhingewiesen, dass die Webseite von Ticketmaster die Ursache für die Kompromittierung der Kreditkartendaten ist. Kurz darauf berichteten auch andere Kunden wie die Barclaycard, Commonwealth Bank Australien, MasterCard und American Express von Betrugsfällen.

Erst am 5. Mai 2018 hat beauftragte Ticketmaster vier Unternehmen für IT-Forensik mit der Untersuchung der Vorfälle beauftragt. Am 9. Mai ist ein Hinweis auf Twitter erschienen, dass auf Inbenta’s Webseite infizierter Code ausgeliefert worden sind. In der Zwischenzeit haben auch Virenschutzprogramme die Zahlungsseite als bösartig eingestuft. Die Forensiker haben bis zum 8. Juni 2018 insgesamt 117 TB an Daten auf Hinweise von Malware untersucht, wurden jedoch nicht fündig.

Am 22. Juni hat Ticketmaster von Barclaycard den Hinweis bekommen, dass es etwa 37.000 Betrugsfälle gibt. Erst am nächsten Tag wurde die Schadcode auf der Webseite von Ticketmaster gefunden. Dieser war im Javascript-Code des auch auf der Zahlungsseite eingebundenen Chat-Bots zu finden. Der Bot selbst war auf einem Server des Subdienstleisters Inbenta gehostet, in den Hacker eindringen konnten. Der Chat-Bot war so konstruiert, dass er sämtliche Eingaben in Webformulare auswertete. So konnten die Cyberkriminellen die eingegeben Kreditkarteninformationen über den manipulierten Chat-Bot abgreifen.

Es wurde hier Art. 5 Abs. 1 lit. der DSGVO sowie Art. 32 DSGVO verletzt.

Entscheidungsdatum:
13.11.2020

Land:
Großbritannien

Art des Verstoßes:
Illegale Datenverarbeitung

Betroffene Datensätze:
9400000

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 1,392,525,-

Quelle:
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/11/ico-fines-ticketmaster-uk-limited-125million-for-failing-to-protect-customers-payment-details/

Category iconAllgemein