Una società di biglietteria britannica è stata penalizzata finanziariamente per una violazione dei dati del 2018 che ha esposto le informazioni personali di milioni di clienti in tutta Europa.
L’Information Commissioner’s Office (ICO) ha multato Ticketmaster UK Limited di 1,25 milioni di sterline per non aver protetto i dati personali dei suoi clienti.
Ticketmaster ha emesso un avviso di violazione dei dati nel giugno 2018 dopo che un fornitore di piattaforme di terze parti Inbenta Technologies è stato infettato da software dannoso.
Il malware, che è stato rilevato su un prodotto di assistenza clienti, ha trapelato i dati dei clienti e li ha trasmessi a un aggressore sconosciuto.
Le informazioni compromesse nell’incidente includevano nomi, indirizzi, e-mail, numeri di telefono, numeri di carte di pagamento, date di scadenza, numeri CVV e dettagli di accesso Ticketmaster di ben 11 milioni di clienti Ticketmaster in Europa e nel Regno Unito.
Un’indagine sull’incidente da parte dell’ICO ha rilevato che Ticketmaster ha violato il Regolamento generale sulla protezione dei dati non avendo messo in atto “misure di sicurezza adeguate per prevenire un attacco informatico a un chat-bot installato sulla sua pagina di pagamento online“.
La violazione, iniziata a febbraio 2018, è stata scoperta dopo che i clienti di Monzo Bank hanno segnalato transazioni fraudolente.
“La Commonwealth Bank of Australia, Barclaycard, Mastercard e American Express hanno tutti segnalato suggerimenti di frode a Ticketmaster”, ha detto l’ICO, “ma la società non è riuscita a identificare il problema”.
Gli investigatori hanno scoperto che Ticketmaster ha iniziato a monitorare il traffico di rete attraverso la sua pagina di pagamento online solo nove settimane dopo essere stato avvisato di possibili frodi.
Gli investigatori hanno scoperto che la violazione ha causato l’utilizzo fraudolento di 60.000 carte di pagamento appartenenti ai clienti di Barclays Bank. Altre 6.000 carte appartenenti ai clienti Ticketmaster sono state sostituite da Monzo Bank per sospetto utilizzo fraudolento.
“Un punto chiave di questo caso è che i dati compromessi non sono stati inviati al chat bot stesso, ma a pagine in cui era incorporato il chat bot, che gli hacker sono stati quindi in grado di sfruttare usando il chat bot”, ha commentato Emma Erskine- Fox, Associate Press dello studio legale britannico TLT.
“Nel valutare i rischi del trattamento dei dati personali utilizzando il software incorporato nei siti Web, le organizzazioni dovrebbero quindi considerare non solo quali dati potrebbero essere inviati a quel particolare software, ma come eventuali vulnerabilità potrebbero influenzare i dati inviati in altre aree del sito Web”.