Ticketmaster, entreprise de ventes de billets de spectacles, doit payer une amende de 1,4 million d’euros pour ne pas avoir sécurisé un chatbot sur sa page de paiement en ligne. La sanction a été prise par l’autorité de protection des données personnelles de Grande Bretagne, qui décidément ne chôme pas.
Les numéros complets des cartes bancaires
La violation de données, qui comprenait des noms, des numéros de carte bancaires, des dates d’expiration et des numéros CVV (les 3 chiffres situés à l’arrière de la carte), a potentiellement affecté 9,4 millions de clients de Ticketmaster à travers l’Europe, dont 1,5 million au Royaume-Uni. Les enquêteurs ont constaté qu’à la suite de la violation, 60 000 cartes de paiement appartenant à des clients de la banque Barclays avaient fait l’objet de fraudes connues. Et 6000 autres cartes ont été remplacées par Monzo Bank après avoir soupçonné une utilisation frauduleuse.
Des millions de personnes au Royaume-Uni et en Europe étaient exposées à une fraude potentielle. La violation a commencé en février 2018 lorsque les clients de Monzo Bank ont signalé des transactions frauduleuses. La Commonwealth Bank of Australia, Barclaycard, Mastercard et American Express ont toutes fait des signalements à Ticketmaster. Mais l’entreprise n’a pas identifié le problème.
Neuf semaines pour réagir
Au total, il a fallu neuf semaines à Ticketmaster entre l’alerte d’une éventuelle fraude et se décider à surveiller le trafic réseau de sa page de paiement en ligne. L’enquête de l’autorité de protection des données personnelles britannique a révélé que la décision de Ticketmaster d’inclure le chat-bot, hébergé par un tiers, sur sa page de paiement en ligne permettait à un attaquant d’accéder aux informations financières des clients.
Bien que le vol de données ait commencé en février 2018, la sanction ne concerne que la violation à partir du 25 mai 2018, lorsque les nouvelles règles du règlement général sur la protection des données (RGPD) sont entrées en vigueur. Le chat-bot a été complètement supprimé du site Web de Ticketmaster UK Limited le 23 juin 2018. A l’annonce de la sanction, Ticketmaster a indiqué qu’il ferait appel.