'Ticketmaster-hack topje van de ijsberg'

Een hacker gebruikt Metasploit om in te breken op een computer NOS
Geschreven door
Joost Schellevis
redacteur Tech

De hackaanval op klanten van Ticketmaster was onderdeel van een grotere campagne die honderden webwinkels wereldwijd trof, waaronder sites van grote merken. Dat meldt het Amerikaanse beveiligingsbedrijf RiskIQ in een rapport dat het vanmiddag uitbrengt.

De hackaanval was bedoeld om betaalgegevens van Ticketmaster-klanten afhandig te maken. "We kunnen alleen maar gokken hoeveel ze hebben kunnen stelen, maar we vermoeden dat ze een immense verzameling betaalgegevens hebben", schrijven de onderzoekers.

De groep achter de aanval zou eerder onder meer hebben ingebroken bij de Britse boekenuitgever Faber and Faber, sportmerk Everlast en modemerk Rebecca Minkoff. In totaal gaat het volgens RiskIQ om circa 800 getroffen webwinkels.

De aanvallers zijn volgens het beveiligingsbedrijf al sinds 2015 bezig met hun activiteiten. Een server die werd gebruikt bij de aanval op Ticketmaster is al sinds december 2016 in de lucht. Daarmee zou de Ticketmaster-aanval slechts het topje van de ijsberg zijn.

Niet rechtstreeks

De aanvallers braken niet rechtstreeks in, maar bij een toeleverancier van software. Dat was al bekend, maar RiskIQ ontdekte dat een tweede toeleverancier ook is gebruikt om bezoekers van Ticketmaster-websites aan te vallen.

Ook zouden meer internationale Ticketmaster-websites zijn getroffen. Bekend was al dat de Britse en internationale websites waren getroffen, maar volgens het onderzoek zijn ook de Ticketmatster-websites in Duitsland, Ierland, Turkije, Nieuw-Zeeland en Australiƫ met succes aangevallen. Ticketmaster reageerde niet op een verzoek tot commentaar.

De onderzoekers kijken nu of nog meer lokale Ticketmaster-websites zijn getroffen. Of de Nederlandse Ticketmaster-website is getroffen, en dus mogelijk ook betaalgegevens van Nederlandse Ticketmaster-gebruikers zijn getroffen, is onbekend. Eerder meldde het bedrijf dat daarvoor geen bewijs was.

Wat te doen?

Als Ticketmaster vermoedt dat je account is getroffen bij de aanval, word je per e-mail op de hoogte gesteld. Het is dan aan te raden om in de gaten te houden of er verdachte afschrijvingen van je creditcard plaatsvinden. Ook kunnen wachtwoorden zijn uitgelekt, dus is het aan te raden om je wachtwoord te wijzigen, ook op andere plekken waar je hetzelfde wachtwoord gebruikt. Dat laatste is sowieso aan te raden, ook als je niet getroffen bent.

Volgens de onderzoekers komt de aanval neer op digitaal skimmen. Bij skimmen kopieert een aanvaller de pinpas als een klant hem in een pinautomaat steekt, bijvoorbeeld door een opzetstuk op een pinautomaat te monteren. De aanvallers deden iets vergelijkbaars, maar dan met programmeercode op de Ticketmaster-sites.

Door toeleveranciers te kraken, zorgden de aanvallers ervoor dat ze een kopie kregen van de data die gebruikers invulden op de Ticketmaster-websites.

De aanval kwam eind juni aan het licht. Een Britse bank ontdekte de aanval als eerste, toen creditcards van klanten werden misbruikt nadat ze een aankoop bij Ticketmaster hadden gedaan.

STER Reclame