Según ha explicado la propia compañía multinacional de venta de entradas de espectáculos, Ticketmaster ha sufrido un «incidente de seguridad» que pone en riesgo datos personales y bancarios de sus usuarios en todo el mundo. Según el comunicado emitido esta mañana, que más abajo reproducimos íntegramente, un software malicioso escondido en una herramienta de atención al cliente empleada por Ticketmaster ha propiciado que, durante horas, haya sido posible que un tercero haya accedido a «la información personal y de pago de algunos de nuestros clientes».
Por eso, Ticketmaster está ofreciendo asistencia gratuita a sus usuarios, tanto a través de una página web como vía mail, además de la posibilidad (de forma gratuita y durante 1 año) del seguimiento de la identidad digital de los usuarios que lo deseen. Además, pide a sus usuarios que, como medida de precaución, cambien sus contraseñas de usuario en la red de Ticketmaster.
Por su parte, Inbenta, la empresa externa a Ticketmaster acusada del fallo de seguridad, también ha emitido un comunicado aclarando que el problema de software estaba en un código JavaScript «personalizado por Inbenta para cumplir con los requisitos particulares de Ticketmaster», por lo que es un código exclusivo de la empresa de venta de tickets. Además, se desmarca del uso inapropiado del código: «Ticketmaster aplicaba directamente el script a su página de pagos, sin notificar a nuestro equipo. Si hubiéramos sabido que el script personalizado se estaba utilizando de esta manera, lo habríamos desaconsejado, ya que conlleva un mayor riesgo de vulnerabilidad».
Comunicado de Ticketmaster:
«El sábado 23 de junio de 2018, Ticketmaster Reino Unido identificó un software malicioso en un producto de atención al cliente proporcionado por Inbenta Technologies, un proveedor externo de Ticketmaster.
Tan pronto como se detectó este software malicioso se desactivó el producto Inbenta de todas las páginas web de Ticketmaster.
Como resultado de haber tenido el producto de Inbenta operando en las páginas web de Ticketmaster Internacional, es posible que un tercero desconocido haya accedido a la información personal y de pago de algunos de nuestros clientes.
Nos ponemos en contacto contigo porque has comprado o intentado comprar entradas entre septiembre del 2017 y el 23 de junio del 2018. Aunque no tenemos evidencias que sugieran que tus datos puedan estar comprometidos, queremos notificártelo como medida de precaución.
Equipos de expertos en seguridad están trabajando día y noche para determinar en qué medida se han visto afectados los datos.
Además, estamos trabajando con la autoridad competente, con los bancos y con las compañías de tarjetas de crédito.
¿Qué estamos haciendo?
Ticketmaster Internacional ha habilitado la página web seguridad.ticketmaster.es para responder tus preguntas sobre el incidente con Inbenta. También puedes contactar con nosotros a través de fan.help@ticketmaster.es
– Como medida de precaución todos los usuarios notificados deberán resetear sus passwords la próxima vez que entren en sus cuentas
– Ofrecemos a los clientes afectados de forma gratuita y durante 12 meses un servicio para que un proveedor líder en el sector haga seguimiento de la identidad online del usuario. Para solicitar este servicio, por favor visita esta página
Te recomendamos que vigiles los extractos de tus cuentas bancarias por si hubiera evidencia de fraude o suplantación de identidad. Si estás preocupado o notas alguna actividad sospechosa en tus cuentas, contacta con tu banco y tu compañía de tarjetas de crédito.
Para Ticketmaster es sumamente importante la información personal. Nos tomamos muy seriamente la protección de esta información y lamentamos tener que escribirte en estas circunstancias.
Atentamente
El equipo de Ticketmaster»
Comunicado de Inbenta Technologies:
“Apreciados clientes y usuarios,
Seguramente ya debes estar al tanto de la violación de seguridad relacionada con la tecnología de Inbenta que puede haber afectado a algunos clientes de Ticketmaster.
Como director ejecutivo de Inbenta, le escribo para transmitir
(1) el alcance total de la violación y
(2) cómo hemos trabajado para garantizar que el problema se resuelva
1) En la noche del sábado 23 de junio, nuestro cliente Ticketmaster nos avisó que los datos personales de sus usuarios podrían haberse visto comprometidos.
Tras una investigación adicional por ambas partes, se ha confirmado que el origen de la violación de datos fue un código JavaScript, que fue personalizado por Inbenta para cumplir con los requisitos particulares de Ticketmaster. Este código no forma parte de ninguno de los productos de Inbenta, ni está presente en ninguna de nuestras otras implementaciones.
Ticketmaster aplicaba directamente el script a su página de pagos, sin notificar a nuestro equipo. Si hubiéramos sabido que el script personalizado se estaba utilizando de esta manera, lo habríamos desaconsejado, ya que conlleva un mayor riesgo de vulnerabilidad. Los atacantes localizaron, modificaron y usaron este script para extraer la información de pago de los clientes de Ticketmaster procesada entre febrero y junio de 2018.
2) Hemos resuelto la vulnerabilidad a partir del 26 de junio. También hemos revisado minuciosamente todos los scripts personalizados y generales, y estamos completamente seguros de que ningún otro cliente de Inbenta se ha visto comprometido de ninguna manera. Podemos asegurar por completo a nuestros clientes y usuarios finales que ninguna otra implementación de Inbenta en ninguno de nuestros productos o implementaciones de clientes se ha visto afectada. Si desea obtener más información sobre la infracción, hemos publicado Preguntas frecuentes sobre seguridad relacionadas con este incidente en nuestro sitio web.
Lamentamos mucho que el uso de nuestra tecnología haya producido una violación de la privacidad de los usuarios de Ticketmaster. La privacidad de nuestros usuarios es uno de nuestros valores fundamentales, y seguiremos tomando todas las medidas a nuestro alcance para salvaguardar la información personal de todos los usuarios que interactúan con nuestros productos.
Sinceramente,
Jordi Torras
CEO de Inbenta”.