Ticketmaster reset wachtwoorden van gebruikers na verdachte

@Raven Voor zover bekend alleen de Nederlandse site, ik zal dat toevoegen.

@Xtuv Hebben jullie al contact gehad met Ticketmaster? Ik lees op Twitter de vraag 'zijn jullie niet gehackt?' en 'waarom ook unieke emailadres (bijv. ticketmaster@eigendomein.nl) ook gereset?) en daar wordt niet op gereageerd, of met een ontwijkend antwoord.

In het beste geval heeft Ticketmaster de beveiliging niet echt op orde en communiceren ze daar heel slecht over, maar ik krijg sterk de indruk dat ze (opnieuw) gehackt zijn en er (opnieuw) over liegen. https://t.co/NNEEXhqdHD

— Stephan Vierkant 🇪🇺🇳🇱 (@stephanvierkant) 13 februari 2020

En waarom ook naar mensen met een uniek emailadres? Uitgesloten dat die uit een ander bestand komen.

— Stephan Vierkant 🇪🇺🇳🇱 (@stephanvierkant) 12 februari 2020

Zoals in de mail aangegeven gaat het om invloeden van buitenaf.

— Ticketmaster NL (@Ticketmaster_NL) 13 februari 2020

Waardeloze crisiscommunicatie @Ticketmaster_NL

- een vaag verhaal mailen naar je klanten omdat “op enkele accounts” ongewone inlogpogingen gedetecteerd zijn
- ALLE wachtwoorden resetten
- de belangrijkste, speculatievoedende vraag onbeantwoord laten:https://t.co/BfH10ZITjM

— Danny Mekić (@DannyMekic) 12 februari 2020

Op andere reacties wordt nog druk (en snel) gereageerd, dus te druk hebben ze het niet.

Volgens mij zijn ze namelijk gewoon gehackt en liegen ze daar nu over.

[ Voor 8% gewijzigd door StephanVierkant op 14-02-2020 19:50 ]

@StephanVierkant dan rijst de vraag of het gemeld is bij de AP. Je kan ook zelf een melding maken als je daar sterke vermoedens van hebt.

Ze kunnen natuurlijk gehackt zijn. Echter is het ook gewoon mogelijk dat ze heel veel goede inlogpogingen voor verschillende accounts hebben gelogd vanaf dezelfde locatie waarna er een lampje is gaan branden. Op dat moment hebben ze twee opties,
1) alle accounts resetten
2) alleeen 'haveibeenpwned-accounts'
Optie (2) lijkt me niet waterdicht en meer tijd kosten: ik snap wel dat ze voor optie 1 zijn gegaan.

@StephanVierkant Ik heb inmiddels reactie van Ticketmaster, maar dat is letterlijk onderstaande. Ik probeer nog wel even door te vragen.

Alles wat we over het onderwerp kunnen zeggen, staat in de mail die wij eerder aan Nederlandse accounthouders hebben gestuurd.

Het scenario dat @Arie- schetst lijkt mij ook aannemelijk. De e-mail is in dat geval wel wat ongelukkig geformuleerd en het is helemaal onhandig om dat dan niet verder te verduidelijken als organisatie...

Ja, dat die e-mail ongelukkig is geformuleerd is inderdaad waar. Snap ik ook wel, je wilt gebruikers snel informeren en de onderliggende oorzaak is dan even van ondergeschikt belang. De boodschap is: wijzig je wachtwoord.

Maar het feit dat TM niet reageert op de vele berichten is wel veelzeggend. Ze willen dus ook richting jullie niet gewoon ontkennen dat ze gehackt zijn?

Kan me niet voorstellen dat TicketMaster zo alarm slaat als alleen dit gebeurt:

Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Wat is er gebeurd?
Mensen gebruiken helaas vaak dezelfde inloggegevens op veel verschillende websites. Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen.

We vinden het erg belangrijk dat jouw persoonlijke gegevens veilig zijn, en blijven. Wil je daar meer over weten? Check dan onze privacy pagina.

Ofwel er is een ENORME run geweest op de TicketMaster sites op basis van een buitgemaakte dump, of er lijkt meer aan de hand. Anders zou bij elke nieuwe leak zo'n mail de deur uit moeten immers. (Nouja het kan ook nog zijn dat iemand overijverig heeft gehandeld, maar dat zou best een beetje stom zijn.)

Ik snap de ophef niet zo. Ik heb die mail van Ticketmaster ook gekregen. Die is duidelijk genoeg.

Ze zijn zelf niet gehackt, maar op basis van activiteiten op hun site hebben ze vermoeden dat er pogingen tot inloggen worden gedaan met gegevens die elders zijn gehackt.

Ik vind die email eigenlijk heel netjes. Hoeveel andere sites zou dit ook zijn overkomen en dan gewoon niets doen?

JukeboxBill schreef op vrijdag 14 februari 2020 @ 09:54:
Ik snap de ophef niet zo. Ik heb die mail van Ticketmaster ook gekregen. Die is duidelijk genoeg.

Ze zijn zelf niet gehackt, maar op basis van activiteiten op hun site hebben ze vermoeden dat er pogingen tot inloggen worden gedaan met gegevens die elders zijn gehackt.

Ik vind die email eigenlijk heel netjes. Hoeveel andere sites zou dit ook zijn overkomen en dan gewoon niets doen?

Ze veroorzaken zelf die ophef toch? Wat ik in hun mail lees is "iets of iemand heeft getracht in te loggen op accounts' en dat ze preventief wachtwoorden gereset willen. Maar het is mij niet duidelijk of iemand heeft getracht op mijn account in te loggen en ik daarom actie moet ondernemen, of dat er bij veel gebruikers is getracht in te loggen of nog iets anders.

En gezien zo'n beetje iedereen met een TicketMaster account deze mail gehad lijkt te hebben, roept dat vragen op. Is bij bijna iedereen getracht in te loggen? Bij dermate veel accounts dat het beter was iedereen te mailen? Is er een nieuwe dump ergens verschenen die is gebruikt? Is het een spike geweest aan login attempts die zo groot was dat men zich genooodzaakt voelde te handelen? Is het daadwerkelijk gelukt om op (een te groot % van de) accounts in te loggen? Of is er toch meer aan de hand?

Ergo: Wat was de trigger? En is deze actie dan passend? Geef nog even iets meer tekst en uitleg mensen.

Stel dat TM zou zeggen 'we hebben een piek ondervonden in het aantal inlogpogingen in de periode x tot y. Het is voor ons niet te bepalen of logins in deze periode legitiem waren of niet. Om te voorkomen dat er toegang wordt verkregen tot accounts waar dat niet de bedoeling is, en wij onze klanten willen beschermen is er besloten dat de meest effectieve manier is om toegang tot alle useraccounts [etc]'
Dat geeft duidelijkheid en schept tegelijkertijd ook meer vertrouwen trouwens

Ja, en dat hun 'tijdelijke' wachtwoord per mail wordt verzonden en niet afgedwongen 'tijdelijk' is, is ook wel een teken aan de wand. Het is geen smoking gun, maar TicketMaster heeft de boel op z'n minst vrij beroerd voor elkaar. Ze hebben iets uit te leggen, maar doen het niet.

En om even ontopic te blijven in dit Geachte Redactie-topic: wat mij betreft mag Tweakers duidelijk vermelden dat TIcketMaster niet uitsluit dat ze gehackt zijn. Dat is namelijk feitelijk juist.

JukeboxBill schreef op vrijdag 14 februari 2020 @ 09:54:
Ik snap de ophef niet zo. Ik heb die mail van Ticketmaster ook gekregen. Die is duidelijk genoeg.

Ze zijn zelf niet gehackt, maar op basis van activiteiten op hun site hebben ze vermoeden dat er pogingen tot inloggen worden gedaan met gegevens die elders zijn gehackt.

Ik vind die email eigenlijk heel netjes. Hoeveel andere sites zou dit ook zijn overkomen en dan gewoon niets doen?

Duidelijk en netjes? Afgezien van de spelfouten en rare zinsconstructies zoals bijvoorbeeld de volgende zin:

Zo hebben we ongewone inlogpogingen ontdekt bij een aantal Ticketmaster accounts, mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte.

Hierin wordt met het gebruik van "je" toch duidelijk de indruk gewekt dat het betreffende account onderhevig was aan de hack poging.

De aanhef is algemeen. De mail is verstuurd vanaf een http subdomein. De zeer lange link in de email verwijst naar datzelfde subdomein.

Kortom de email bevatte alle indicatoren van een phising mail.


https://twitter.com/danielverlaan/status/1227622022534090754

Het verhaal: er blijken veel gestolen Ticketmaster-tickets door te worden verkocht op andere platformen, waarschijnlijk omdat mensen hetzelfde wachtwoord voor verschillende online diensten gebruiken.

Om dat probleem te tackelen, zou Ticketmaster alle wachtwoorden hebben gereset.

Ik vraag mij af of ze daadwerkelijk ongewone inlogpogingen hebben ontdekt of dat ze alleen maar veel gestolen Ticketmaster-tickets in het heling circuit zien.

[ Voor 17% gewijzigd door pacificocean op 14-02-2020 10:34 ]

Ik kwam gisteren ook nog deze tweet tegen:
[Twitter: https://twitter.com/danielverlaan/status/1227622022534090754]

Rest nog steeds de vraag of dat een reset van het hele gebruikersbestand dan de juiste maatregel is.

En de communicatie blijft natuurlijk een dingetje, net zoals het toezenden van een tijdelijk wachtwoord na de reset, waarbij niet wordt afgedwongen dat je die meteen wijzigt (en de wachtwoord wijzig functie ergens verstopt zit in "wijzig contactgegevens").

Ik vond de e-mail ook onduidelijk. Ik zit nu eigenlijk met de vraag of mijn LL kaarten door anderen zijn gedownload. Ik kan niets vinden over downloadstatistieken bij mijn kaartjes, of informatie mbt ingelogde sessies. Is er afwijkende communicatie geweest naar mensen waar verdachte handelingen hebben plaatsgevonden? Zijn deze barcodes ongeldig gemaakt? Het zou Ticketmaster sieren zulke zaken wat duidelijker te communiceren.

JukeboxBill schreef op vrijdag 14 februari 2020 @ 09:54:
Ze zijn zelf niet gehackt,

Hoe weet je dat? Ondanks vele verzoeken hebben ze dat nog nergens gezegd.

Stephan Vierkant: TicketMaster, kom eens met het echte verhaal!!

@Verwijderd nooit gebruikt account.

[ Voor 10% gewijzigd door PcDealer op 17-02-2020 00:57 ]