Ticketmaster s’est vu infliger une amende de 1,2 million de livres sterling par le Bureau du commissaire à l’information (ICO) du Royaume-Uni après avoir omis de protéger correctement les données de ses clients lors d’une violation survenue il y a plus de deux ans.
L’amende a été émise après que la société a été jugée en infraction avec le règlement général sur la protection des données (RGPD) de l’UE – pour ne pas avoir mis en œuvre une sécurité appropriée sur un chatbot apparaissant sur sa page de paiement.
La cyberattaque s’est avérée passible d’amendes substantielles en raison du fait que la législation sur la protection des données est entrée en vigueur le 25 mai de la même année.
La grave violation de données, qui a affecté jusqu’à 9,4 millions de clients Ticketmaster en Europe – dont 1,5 million du Royaume-Uni – a conduit des pirates informatiques à voler des informations personnelles très sensibles, notamment les noms, les numéros de carte de crédit et de débit, les dates d’expiration et les numéros CVV du au dos de ces cartes.
Ces données pourraient être utilisées pour se livrer à des fraudes et des attaques secondaires telles que le phishing et la fraude d’identité. et, suite à la cyberattaque, 60 000 clients de la banque Barclays auraient été victimes de fraude.
La cyberattaque massive a été remarquée pour la première fois par les clients de Monzo en février 2018. À ce moment-là, les consommateurs ont commencé à signaler des transactions frauduleuses dans leurs comptes.
À la suite de ces rapports, la Commonwealth Bank of Australia, Barclaycard, American Express et Mastercard ont tous signalé des signes d’activité frauduleuse à la société américaine de vente et de distribution de billets. Malgré cela, l’entreprise n’a pas agi.
Keller Lenkner UK, le cabinet d’avocats actuellement au stade avancé d’une action devant la Haute Cour contre Ticketmaster au nom des milliers de consommateurs britanniques touchés par la violation, a déclaré à ProPrivacy.com.
« La violation a été identifiée comme étant causée par un bot de chat tiers utilisé sur sa page de paiement. Alors que plusieurs banques ont tenté d’alerter Ticketmaster d’une fraude potentielle, il a fallu neuf semaines inacceptables pour que des mesures soient prises, exposant environ 1,5 million de personnes. Clients britanniques – les détails incluent les informations bancaires. «
Selon l’ICO, Ticketmaster s’est vu infliger une amende pour ne pas avoir:
- Évaluer les risques liés à l’utilisation d’un chat-bot sur sa page de paiement
- Identifier et mettre en œuvre des mesures de sécurité appropriées pour annuler les risques
- Identifier la source de l’activité frauduleuse suggérée en temps opportun
James Dipple-Johnstone, commissaire adjoint à l’OIC, a commenté:
« Ticketmaster aurait dû faire plus pour réduire le risque d’une cyber-attaque. Son échec à le faire signifiait que des millions de personnes au Royaume-Uni et en Europe étaient exposées à une fraude potentielle. »
Kingsley Hayes, responsable de la violation de données et de la cybercriminalité chez Keller Lenkner UK, a rapidement souligné que l’amende infligée à Ticketmaster est relativement faible:
Cela était attendu depuis longtemps à la suite de la violation de données de Ticketmaster qui a commencé en février 2018 et s’est poursuivie pendant plusieurs mois. Bien qu’il s’agisse d’une sanction financière importante, nous devons noter que l’OIC doit prendre en compte l’impact économique de la pandémie.Ainsi, l’amende de Ticketmaster est aujourd’hui nettement inférieure à ce qu’elle aurait été dans des circonstances ordinaires.
Keller Lenkner va maintenant poursuivre son action en justice contre Ticketmaster, dans l’espoir d’obtenir des dommages-intérêts pour des milliers de Britanniques touchés par la cyberattaque.
Keller Lenkner UK est actuellement à un stade avancé d’une action devant la Haute Cour contre Ticketmaster au nom de milliers de clients concernés, les effets de la violation causant un préjudice financier et psychologique réel et potentiel. & Rdquo;
