シャッターストック
水曜日の夕方、チケット販売大手チケットマスターの英国サイトがデータ侵害を受けたというニュースが初めて報じられました。チケットマスターの顧客の約5%、4万人弱が影響を受けており、複数の人が詐欺被害に遭ったと報告しています。
チケットマスターのログイン情報に加え、ユーザーの支払いデータ、住所、氏名、電話番号も危険にさらされています。チケットマスターによると、この侵害は6月23日に初めて検知されたとのことです。チケットマスターのお客様は全員、他のサイトで同じパスワードを使用している場合はパスワードを変更することをお勧めします。まだパスワードのセキュリティを強化していない方は、今が(もう一つの)良い機会です。
この情報漏洩は最近になってニュースで取り上げられたばかりですが、数ヶ月前から疑われていました。しかも、このミスに気づいたのはTicketmasterではなく、新興銀行のMonzoでした。Monzoによると、情報漏洩は4月6日に発生し、その日に不正行為を報告した顧客の70%がTicketmaster経由でも購入していたとのことです。しかし、その期間中にTicketmasterを利用したMonzoの顧客は全体のわずか0.8%でした。
モンゾはチケットマスターに警告したが、同社はほとんど注意を払わなかったようだ。「彼らが会議に来た時、我々は持てる限りの証拠を提示しました。絶対的に反駁の余地のない証拠はこれまでも、そして今も持っていませんが、我々が持っていたのは圧倒的な統計的証拠でした。それが偶然である可能性は信じられないほど小さいのです」とCEOのトム・ブロムフィールド氏は語る。
そこで私たちは証拠を提示し、『皆さん、これを真剣に受け止めてください』と言いました。すると彼らは調査を行いました。彼らはすぐに『調査では侵害の証拠は見つからず、私たちが原因ではないと考えています』と返答しました。しかし数ヶ月後、これまでずっと侵害を受けていたことが判明したのです。」
Monzoはこの問題を完全に放置することを望まず、影響を受けた可能性のあるユーザーに対し数千枚の新規カードを発行しましたが、問題を引き起こした加盟店の身元は明かしませんでした。同社は本日、当該ユーザーに送ったメールで、カード交換を決定した理由がTicketmasterであることを明らかにしました。
続きを読む: デジタルライフのための本当に強力なパスワードを作成する方法
チケットマスターの主張は部分的に正しかったことが判明しました。侵害を受けたのはチケットマスターではなく、下請け業者の1社でした。チケットマスターのサイトでチャットボットを運営するInbenta Technologiesは、顧客のニーズに合わせて基本製品をカスタマイズするために、JavaScriptコードの一行を改変していました。チケットマスターは(Ibentaの許可なく)このコードを支払いページで使用しました。ハッカーはこのスクリプトを発見し、支払い情報を抽出できるように改変し、2月の日付不明以降のユーザー情報を収集しました。
インベンタのジョルディ・トーラスCEOは声明で、脆弱性は6月26日に修正されており、同社の技術の使用が「チケットマスター利用者のプライバシーの侵害」につながったことを「心からお詫び申し上げます」と述べた。
情報漏洩の公表を受け、情報コミッショナー事務局(ICO)は、チケットマスターの漏洩に関して「調査中」であり、事件発生日と発覚日に基づき、1998年データ保護法または2018年データ保護法のどちらに基づいて対処すべきかを判断する予定であると述べた。GDPR(一般データ保護規則)の根拠となった2018年法は、最初の発覚後、事件が公表される前の5月25日にようやく施行された。
この記事はWIRED UKで最初に公開されました。
