Ticketmaster英国分公司被罚款125万英镑(约合160万美元),此前该公司对2018年大规模数据泄露事件反应平平,影响了900多万客户。
这是根据英国信息专员办公室(ICO)今天早些时候发布的一份通知。该数据监管机构表示,Ticketmaster当时未能“采取适当的安全措施”,泄露了多达940万欧洲客户的信用卡详细信息,其中包括英国本土的150万客户。根据ICO的说法,6万张卡受到了已知的欺诈。在一些“疑似”欺诈性付款后,一家当地银行更换了至少6000张信用卡。
考虑到所有因素,Ticketmaster相对轻松地逃脱了惩罚,既考虑到自最初泄密以来该公司赚了多少钱,也考虑到该公司当时似乎对这一消息的处理有多糟糕。阅读了ICO发布的官方处罚通知后,Ticketmaster从2018年4月开始收到潜在欺诈交易的通知,但等了9周才真正调查根本原因可能是什么。然后,在当年6月初,该公司的内部响应团队报告说,在扫描了Ticketmaster系统中117TB的数据后,它没有发现任何恶意软件的迹象-尽管多个客户的杀毒软件标记了该公司一些面向欧洲的网站。
到2018年6月底,当该公司采取行动时,已经有无数理所当然的担忧客户向Ticketmaster表达了自己的担忧,比如Visa、美国运通(American Express)和万事达卡(Mastercard)。在某些情况下,这些客户已经连续几个月向Ticketmaster表达了他们的担忧。
最终,漏洞被追溯到安装在Ticketmaster在线支付页面上的第三方聊天机器人中的一个漏洞。根据ICO的说法,这个由加州开发商Inbenta Technologies开发的机器人是为了解释用户的问题并帮助他们在网站上导航而建造的。当时,Ticketmaster表示,这款机器人是“客户旅程的关键部分”。
根据通知,一个坏演员攻击了Inbenta的服务器,并能够将恶意代码插入到这个机器人中。这段代码是为了抓取Ticketmaster的客户将其放在页面上任何位置的任何数据而构建的。由于这个机器人显然在Ticketmaster的支付页面上很活跃,所以被窃取的数据包括这些客户在购票时使用的所有信用卡详细信息。
在给BBC的一份关于这一事件的声明中,Ticketmaster简单地指出,公司“非常认真地对待粉丝的数据隐私和信任”,并计划对罚款提出上诉,并指出“自从2018年Inbenta Technologies被攻破以来,我们已经向ICO提供了全力合作。”
其他新闻方面,票务网站Ticketmaster宣布计划对在1/1/21之后购买的门票征收160万美元的服务费。