El servicio de venta de entradas Ticketmaster ha reconocido haber sufrido una brecha de seguridad y ha informado a sus usuarios de que sus datos personales e información de pago puede haber sido comprometida.
La compañía ha citado un servicio de chat contratado con una tercera parte como el punto de origen de la brecha que ha afectado a decenas de miles de usuarios entre los que se encuentran españoles.
En su comunicado, Ticketmaster declara haber descubierto software malicioso en la app de atención al cliente instalada en su web británica que permitía a los hackers extraer datos personales e información de pago de los clientes que compraban entradas.
Ticketmaster deshabilitó esta app en todas sus webs tan pronto como fue consciente del problema.
La empresa desarrolladora de la app, Inbenta Technologies, rehuyó aceptar ninguna responsabilidad culpando a Ticketmaster de haber instalado su producto incorrectamente.
“Después de una investigación conjunta, se ha confirmado que el origen de la brecha de seguridad fue una pieza de código JavaScript que fue modificada por Inbenta para atender a las necesidades de Ticketmaster,” declaró Jordi Torras, director de Inbenta. “Este código no es parte de los productos de Inbenta y no está presente en ninguna otra de nuestras implementaciones. Ticketmaster aplicó este script directamente a su página de pagos, sin notificarlo a nuestro equipo.”
Inbenta ha declarado que la aplicación de este código JavaScript a la página de pagos presentó a los hackers “un punto de vulnerabilidad que afecta a la capacidad de lor formularios web para subir archivos,” permitiendo a los cibercriminales localizar, modificar y usar el script para “extraer información de pago de los clientes de Ticketmaster procesada entre febrero y junio de 2018.”
La información comprometida incluye nombres, direcciones, direcciones email, números de teléfono, detalles de pago y credenciales de acceso a cuentas.
“Equipos de seguridad y expertos están trabajando sin pausa para entender cómo los datos fueron comprometidos,” ha declarado Ticketmaster en un comunicado. “Estamos trabajando con las autoridades y con las compañías de tarjetas de crédito y bancos.”
No se han facilitado cifras del número de clientes afectados pero Ticketmaster ha admitido que fueron menos del 5% del volumen global. La compañía ha contactado con todas las personas afectadas a las que ha ofrecido un servicio de monitorización de la identidad durante 12 meses.
