Глобиха Ticketmaster UK Limited с 1,25 милиона британски лири заради хакнатите данни за плащане на 9,4 милиона клиенти

ICO наказа компанията заради кибератаката срещу чат-бота й, засегнала данните на 1,5 милиона британци

Службата на комисаря по информацията (ICO) глоби Ticketmaster UK Limited 1,25 милиона британски лири за неспазване на сигурността на личните данни на клиентите.

ICO установи, че компанията не е въвела подходящи мерки за сигурност, за да предотврати кибератака срещу чат-бот, инсталиран на нейната страница за онлайн плащане.

Неуспехът на Ticketmaster да защити информацията за клиентите е нарушение на Общия регламент за защита на данните (GDPR).

Нарушението на данните, което включва имена, номера на банковите карти, дати на изтичане и CVV номера, потенциално е засегнало 9,4 милиона клиенти на Ticketmaster в цяла Европа, включително 1,5 милиона във Великобритания.

Разследващите установиха, че в резултат на нарушението 60 000 платежни карти, принадлежащи на клиенти на Barclays Bank, са били компрометирани, а Monzo Bank заменя заради подозрения 6000 карти.

ICO установява, че Ticketmaster не успява да:

  • оцени рисковете от използването на чат-бот на страницата му за плащане
  • идентифицира и приложи подходящи мерки за сигурност
  • открие своевременно източника на проблема

Зам.-комисарят Джеймс Дипъл-Джонстоун, подчертава във връзка с глобата, че тя е съобщение до останалите организации, на които са поверени личните данни на клиентите, безопасността да заеме водещо място в приоритетите им.

През февруари 2018 г. клиенти на Monzo Bank съобщават за измамни транзакции. Commonwealth Bank of Australia, Barclaycard, Mastercard и American Express съобщават на Ticketmaster за предположения за измама.  Но компанията не успява да идентифицира проблема.

Като цяло на Ticketmaster са били необходими девет седмици, преди да започне да следи мрежовия трафик в страницата си за онлайн плащане.

Разследването на ICO установява, че решението на Ticketmaster да включи чат-бота, хостван от трета страна, на страницата си за онлайн плащане, позволява на хакера достъп до финансовите данни на клиентите.

Наказанието се отнася само за нарушението след 25 май 2018 г., когато влязоха в сила новите правила съгласно Общия регламент относно защитата на данните (GDPR).

Чат-ботът беше напълно премахнат от уебсайта на Ticketmaster UK Limited на 23 юни 2018 г.

На 29 юни публикувах съобщението Свържете се със своята банка, ако сте купували билети за концерти от Ticketmaster след септември 2017 г.

ICO разследва от името на всички надзорни органи на ЕС като водещ надзорен орган съгласно GDPR. Наказанието и действието са одобрени от другите ОЗД на ЕС чрез процеса на сътрудничество по GDPR.

Можете да споделите: