Het raadsel van de digitale inbraak bij Ticketmaster

Woensdag 12 februari krijgen alle klanten van Ticketmaster deze mail:

De tekst vervolgt met wat je moet doen om een nieuw wachtwoord aan te maken, compleet met een link naar een website. En het benadrukt dat je bij verschillende accounts vooral verschillende wachtwoorden moet gebruiken. Anders loop je de kans dat criminele hackers daar dankbaar misbruik van kunnen maken.

De mail roept onmiddellijk allerlei vragen op en blinkt niet uit in duidelijkheid. Klanten vragen zich af: wat is er nu precies gebeurd, is er in mijn account ingebroken, zijn mijn gegevens veilig, werken mijn bestelde kaartjes nog wel? Op social media, vooral op Twitter, ontstaat een storm van kritische vragen richting Ticketmaster. Belangrijkste eerste vraag: is dit wel een echte mail van Ticketmaster, of is dit een zogenaamde phishingmail waar oplichters jou naar een nagemaakte website lokken om daar je persoonlijke gegevens te onderscheppen. De klantenservice en webredactie van Ticketmaster moeten overuren maken, maar iedereen krijgt ongeveer hetzelfde antwoord: ‘Deze mail is inderdaad afkomstig van ons. Succes met de reset van je wachtwoord’ of ‘De mail is een voorzorgsmaatregel en is naar alle Ticketmaster-accounts gestuurd.’ Geen details verder en al helemaal geen antwoorden op concrete vragen of er sprake is van datalekken of een hack? Hoewel Ticketmaster sommige antwoorden afsluit met #veiligheidvooralles maakt dit allemaal geen betrouwbare indruk. Veel klanten vertrouwen het dan ook niet en gooien de mail weg.

Een van de klanten die de mail van Ticketmaster ontving is Danny Mekic, de tech en online deskundige die regelmatig te gast is bij Kassa. Hij ziet in eerste instantie een klassiek voorbeeld van een phishingmail, zo’n mail waarvoor Ticketmaster eerder al eens waarschuwde in een blog.

Ook Danny neemt meermalen contact op met Ticketmaster maar krijgt niet meer dan de standaardantwoorden. Hij hekelt de crisiscommunicatie van Ticketmaster. Een mail die de indruk wekt een phishingmail te zijn en nietszeggende algemene antwoorden op hele concrete vragen. Wat is er aan de hand? En waarom was het resetten van de wachtwoorden van alle accounts nodig? Als er inderdaad sprake van is van verdachte inlogpogingen op een paar accounts, dan zijn gerichte maatregelen op die accounts voldoende. Die zijn aan de orde van de dag. Als elke keer dat techreuzen als Google of Facebook op deze manier worden aangevallen, alle wachtwoorden zouden moeten worden gereset, zou dat onbegonnen werk zijn en kunnen ze er beter meteen mee ophouden.

Dus dit is ofwel een hele domme overreactie van Ticketmaster op een paar incidenten ofwel er is meer aan de hand. Maar daar is men dan weer niet duidelijk over en dat versterkt de onrust. Is Ticketmaster gehackt? De laatste keer dat Ticketmaster op deze manier in het nieuws kwam, in juni 2018, was er sprake van een serieus lek waarbij wachtwoorden, persoons- en betaalgegevens werden ontvreemd. De Britse bank Monzo die daar achter kwam, zegt Ticketmaster al een paar maanden daarvoor te hebben getipt. Is daar nu weer sprake van?

"De beschreven hackpoging door Ticketmaster kan zeer effectief zijn en is kinderlijk eenvoudig om uit te voeren", zegt ethisch hacker Sijmen Ruwhof die in opdracht van bedrijven en instellingen de digitale beveiliging test. De inloggegevens waar gebruik van gemaakt wordt zijn eerder al elders gelekt op internet en kunnen op verschillende manieren worden uitgeprobeerd, onder meer door gebruik te maken van botnets. Dat zijn door hackers overgenomen en aan elkaar gekoppelde computers die duizenden inlogpogingen tegelijk kunnen doen. Daarmee wordt de kans vergroot dat ze ergens binnenkomen en computersystemen verder binnendringen, virussen achterlaten of data stelen. Maar het kan ook low-tech, de gegevens van miljarden accounts liggen namelijk op straat. Gegevens die eerder zijn buitgemaakt worden verzameld en als pakketjes illegaal te koop aangeboden, meestal op het darkweb, maar soms ook op het open internet. In januari van dit jaar werd een 22-jarige Arnhemmer opgepakt, die op het darkweb de data van 12 miljard accounts aanbood voor een kleine vergoeding. Op Haveibeenpwned.com  kun je nagaan of ook jouw gegevens al eens ergens zijn gestolen. Of kijk eens op de site van de politie.

Ook Sijmen is verbaasd over de communicatie van Ticketmaster. ‘Ze willen maar heel weinig zeggen over wat er precies is gebeurd, terwijl de actie die ze hebben genomen door alle wachtwoorden te resetten wel een hoop vragen oproept. De meeste bedrijven zijn niet voorbereid op een hackincident en hebben geen toegespitste communicatiedraaiboeken klaarliggen. Veel bedrijven slaan dan dicht, en wijden zo minimaal mogelijk uit over wat er precies is gebeurd. Dat zorgt voor onrust onder klanten, omdat dan hevig gespeculeerd wordt. Als een hack veel impact kan veroorzaken op het leven van klanten, zijn bedrijven verplicht die te informeren. Maar dan moet het risico wel duidelijk zijn. Ik ben benieuwd om hoeveel Ticketmaster-accounts het gaat, waarop is geprobeerd in te loggen. Ticketmaster wil hierover echter geen uitspraken doen. Bij de Universiteit van Maastricht (eind vorig jaar slachtoffer van een grootschalige digitale inbraak) is veel misgegaan, maar ze zijn tijdens en na de hack wel heel transparant geweest over wat er aan de hand was. Ze hebben zelfs het hele forensische rapport van Fox IT online gezet. Transparant zijn in wat is gebeurd en wat je doet om in control te komen is het beste begin om het vertrouwen van je klanten weer terug te krijgen.’

Wat er precies gebeurd is, is dus onduidelijk, maar de reactie van Ticketmaster geeft Sijmen Ruwhof niet het gevoel dat Ticketmaster de digitale beveiliging goed op orde heeft. Ticketbedrijven zijn vooral bezig kaartjes te verkopen en niet data te beschermen. Maar die kaartjes, de betaalgegevens en andere data van klanten zijn wel weer veel geld waard. En dus moeten dit soort bedrijven extra hun best doen om die waardevolle data te beschermen, vindt hij.

Er kan een zogenaamde credential-stuffing aanval hebben plaatsgevonden waarbij buitgemaakte gebruiksnamen en wachtwoorden in andere datalekken worden uitgeprobeerd totdat het ergens lukt. Dat kan met één computer maar ook via duizenden computers (botnet) die elkaar afwisselen. Als je dat goed aanpakt is dat heel lastig te blokkeren.

Maar je kunt het aan de voorkant wel tegengaan. En daar lijkt Ticketmaster steken te laten vallen, denkt Sijmen. Het kan betrekkelijk eenvoudig, maar uiterst effectief: door tweetraps verificatie aan te bieden, waarbij naast een wachtwoord ook nog een aparte (bijvoorbeeld via sms) verstuurde en telkens veranderende code in het inlogscherm ingevuld moet worden. Daarnaast is het niet zichtbaar wanneer en waarvandaan in het verleden is ingelogd geweest op mijn account. Als ik mijn wachtwoord wijzig, dan krijg ik daarvan geen mail ter bevestiging. Als ik via een VPN vanuit Iran op mijn account inlog, dan krijg ik geen mail dat vanaf een ongebruikelijke locatie is ingelogd op mijn account. Standaard gebeuren dit soort maatregelen niet want ze kosten tijd en geld en je maakt het een beetje lastiger voor je klanten. Maar volgens Sijmen moet je altijd kijken naar wat de dreiging is waartegen je wilt beschermen, om vervolgens de benodigde beveiligingsmaatregelen door te voeren. Een ticketwebsite is interessant voor criminelen omdat daar tickets met veel waarde te downloaden zijn, dus je kunt best wel wat geld kwijtraken als consument, maar nog vervelender: je dag is verpest omdat je het festival niet in mag omdat de hacker je ticket heeft doorverkocht en die persoon was net even eerder. En dus moet je als bedrijf met waardevolle data je beveiliging extra goed op orde hebben.

Ticketmaster legt nu de verantwoordelijkheid grotendeels bij de eindgebruikers, de klanten. Die moeten een uniek en sterk wachtwoord gebruiken en dat doen ze niet altijd, stelt het bedrijf in de mail. Maar TM heeft ook een grote verantwoordelijkheid als platform. Die kan z’n klanten waarschuwen voor potentiële dreigingen, een sterk wachtwoord afdwingen, of een andere extra beveiligingsmaatregelen nemen. Ze kunnen ook de bekende en wijdverspreide datalekken zelf downloaden en kijken of hun klanten daarbij zitten, en die dan – heel gericht - waarschuwen. Dat doen bedrijven als Google en Facebook ook voortdurend.

Het aantal en de omvang van datalekken stijgt exponentieel. En dus kan de consument er niet altijd meer op vertrouwen dat zijn gegevens overal veilig zijn. Wat kun je zelf doen om te voorkomen dat je gegevens gestolen worden? Sijmen Ruwhof heeft een simpel advies: doe alleen zaken met betrouwbare partijen die hebben bewezen hun zaken op orde te hebben. Vraag om je account en je gegevens te verwijderen als je er geen gebruik meer van wilt maken. Je hebt het recht om vergeten te worden. Steeds meer webwinkels hebben een knop ingebouwd om je account te laten verwijderen. Bij Ticketmaster kan dat overigens niet via de website en zal je ze per mail hierom moeten vragen. En ook zonder een account aan te maken tickets kopen lukt niet, zoals tegenwoordig bij steeds meer andere webwinkels wel kan. Je bestelt wat en betaalt, zonder verder onnodige registratie. En als je wel wat moet opgeven, en als het om iets onbenulligs gaat, zou je ook altijd nog een andere naam en geboortedatum kunnen opgeven. Dat is niet helemaal zoals het hoort, maar soms moet je een beetje streetwise zijn op internet. Het is veiliger en niemand heeft er last van.  Meer handige tips van Sijmen en collega’s kun je vinden op Laatjeniethacken.nl.

Waarom is een account eigenlijk nodig bij Ticketmaster, vraagt ook Danny Mekic zich af. Je bestelt een kaartje dat je na betaling rechtstreeks in je email kan ontvangen, daar heb je geen account voor nodig. Maar bij Ticketmaster ontkom je er niet aan. Het bedrijf heeft zijn zaken niet op orde, vraagt allerlei persoonlijke info op die voor de tickets helemaal niet nodig zijn en volgt niet de best practices op dit gebied. Wat kan Ticketmaster volgens hem nog doen om de ontstane onrust een beetje weg te nemen? ‘Alle klanten een nieuwe mail sturen met welgemeende excuses voor de onhandige manier van communiceren en volledig openheid van zaken geven. Wat is er gebeurd, wat betekent dat voor jou en wat wordt eraan gedaan om herhaling te voorkomen?’.