'Ticketmaster-hack topje van de ijsberg'
De hackaanval op klanten van Ticketmaster was onderdeel van een grotere campagne die honderden webwinkels wereldwijd trof, waaronder sites van grote merken. Dat meldt het Amerikaanse beveiligingsbedrijf RiskIQ in een rapport dat het vanmiddag uitbrengt.
De hackaanval was bedoeld om betaalgegevens van Ticketmaster-klanten afhandig te maken. "We kunnen alleen maar gokken hoeveel ze hebben kunnen stelen, maar we vermoeden dat ze een immense verzameling betaalgegevens hebben", schrijven de onderzoekers.
De groep achter de aanval zou eerder onder meer hebben ingebroken bij de Britse boekenuitgever Faber and Faber, sportmerk Everlast en modemerk Rebecca Minkoff. In totaal gaat het volgens RiskIQ om circa 800 getroffen webwinkels.
De aanvallers zijn volgens het beveiligingsbedrijf al sinds 2015 bezig met hun activiteiten. Een server die werd gebruikt bij de aanval op Ticketmaster is al sinds december 2016 in de lucht. Daarmee zou de Ticketmaster-aanval slechts het topje van de ijsberg zijn.
Niet rechtstreeks
De aanvallers braken niet rechtstreeks in, maar bij een toeleverancier van software. Dat was al bekend, maar RiskIQ ontdekte dat een tweede toeleverancier ook is gebruikt om bezoekers van Ticketmaster-websites aan te vallen.
Ook zouden meer internationale Ticketmaster-websites zijn getroffen. Bekend was al dat de Britse en internationale websites waren getroffen, maar volgens het onderzoek zijn ook de Ticketmatster-websites in Duitsland, Ierland, Turkije, Nieuw-Zeeland en Australië met succes aangevallen. Ticketmaster reageerde niet op een verzoek tot commentaar.
De onderzoekers kijken nu of nog meer lokale Ticketmaster-websites zijn getroffen. Of de Nederlandse Ticketmaster-website is getroffen, en dus mogelijk ook betaalgegevens van Nederlandse Ticketmaster-gebruikers zijn getroffen, is onbekend. Eerder meldde het bedrijf dat daarvoor geen bewijs was.
Volgens de onderzoekers komt de aanval neer op digitaal skimmen. Bij skimmen kopieert een aanvaller de pinpas als een klant hem in een pinautomaat steekt, bijvoorbeeld door een opzetstuk op een pinautomaat te monteren. De aanvallers deden iets vergelijkbaars, maar dan met programmeercode op de Ticketmaster-sites.
Door toeleveranciers te kraken, zorgden de aanvallers ervoor dat ze een kopie kregen van de data die gebruikers invulden op de Ticketmaster-websites.
De aanval kwam eind juni aan het licht. Een Britse bank ontdekte de aanval als eerste, toen creditcards van klanten werden misbruikt nadat ze een aankoop bij Ticketmaster hadden gedaan.