Tijd voor een forse boete wegens ignorance bij een datalek. stelletje Amateurs.

"Pas op hoor, er is mogelijk mischien eventueel iets gebeurd!" -- nee dat is nuttige informatie. Een waarschuwing hoort betekenis te hebben en niet vaag te zijn. "Hacken" betekent niets en dus als je daarvoor gaat waarschuwen kun je net zo goed je mond houden.

Jij hebt dus inside informatie over hoe men te werk is gegaan?

Beter lezen, beter nadenken.

Je ziet een trend, een patroon dat opmerkelijk is en op die basis informeer je de partij die mogelijk gehacked is.
Het patroon was onder andere het percentage voorheen-bij-ticketmaster-gebruikt onder de fraude-kaarten bij de bank heel veel hoger was dan te verwachten gezien het aantal ticketmaster-transacties dat hun klanten deden .

Nog duidelijker werd het volgende :

"One of those cards had been previously used for an attempted transaction at Ticketmaster, but the expiry date had been typed incorrectly so the transaction had failed. That same (incorrect) expiry date was then used in an attempted fraudulent transaction on the Monday, providing further evidence that Ticketmaster was the source of the breach. We"

Het fraude team van deze bank heeft het gewoon uitstekend gedaan - en het lijkt er sterk op dat Ticketmaster lang niet hard genoeg gezocht heeft naar aanleiding van de melding en data die de bank gaf.

Een nieuwsbericht is niet een zak puzzelstukjes die je zelf inelkaar moet puzzelen. Nouja, hoort het niet te zijn.

Nog steeds, betekent niets. Kan dus alles zijn.

Dan zeg je toch precies dat, in plaats van "nou er zouden wel eens boemannen van de cyber in je netwerk CPU kunnen zitten hoor". Dat laatse is wat je doet met "gehacked".

Waar haal jij vandaan dat dit geïgnoreerd is? Als je goed gelezen hebt, dan had je hierboven gezien:


Men heeft dus wel gehandeld, alleen de verkeerde conclusie getrokken. Er was op dat moment ook niet zeker dat het datalek bij hen zat.

De bloglink en het tijdslijnen plaatje stonden in het bericht.


Ja, wie weet krijgen al die rokers met longkanker het wel ergens anders van. Kan nog van alles zijn.


"gehacked" is de kop van het nieuwsbericht, en wat jij (?) klakkeloos had aangenomen als realiteit, dat het security team van de bank die een grote merchant informeert alleen maar een whatsappje stuurt met "misschien zijn jullie wel gehacked.punt" .

In de bank-blog *en in het artikel* is te lezen dat ze de details hadden gedeeld hebben met Ticketmaster .

Patronen als :

"After investigating, our Financial Crime and Security team noticed a pattern: 70% of the customers affected had used their cards with the same online merchant between December of last year and April this year. That merchant was Ticketmaster. This seemed unusual, as overall only 0.8% of all our customers had used Ticketmaster."

zijn gewoon cijfers waar je security team bovenop moet springen. En niet negeren met 'kan nog van alles zijn' - het is alle reden waarom Ticketmaster heel erg grondig had moeten zoeken . Alleen zij zijn degene kunnen volgen via welke systemen de kaarten van de gefraudeerde klanten binnengekomen zijn.
De bank ziet alleen het transactie patroom van hun klanten , en de analyse daarvan heeft deze bank uitstekend gedaan.

(ik schrijf 'deze bank' - want is het wel opmerkelijk dat andere banken zeggen niks gezien te hebben. De vraag is natuurlijk hoe goed die andere banken gekeken hebben, naar correlaties in het fraude-transacties met merchants waar de gefraudeerde kaarten voorheen langsgeweest zijn.
Op zich kan er wel een bepaalde correlatie zijn, wanneer de breach zat bij een systeem of callcenter van TM dat een bepaalde regio bedient . Als in die regio sommige banken veel klanten hebben en andere weinig kan het verklaarbaar zijn. )

Kijkend naar de tijdslijnen is de actie aan de kant van ticketmaster niet goed (of in elk geval niet snel) geweest.

Die bank is de eerste nieuwe informatie.
Het verweer van de doir ticketmastet aangevallen subleverancier een andere.
De target hack op pos systemen met fire eye als ids in de herhaling. Al is het niet exact hetzelfde heg verhaal begint steeds meer gelijke patronen te volgen.

Achteraf is alles altijd zo gemakkelijk.....

Als een bank die miljoenen per jaar in anti-fraude - en effectieve ! - fraudesystemen stoppen, fraude bij jou melden, kun je maar beter je zaken 2x controleren, want waarschijnlijk hebben zij hun zaakjes beter op orde dan jij ... het is gewoon een kwestie van niet-willen en geen verantwoordelijkheid - due diligence - nemen/tonen. En jou initiële reactie is precies de verkeerde lakse houding die de grondslag vormt voor dit soort incidenten !

Je geeft niet aan waarop ze beter hadden moeten controleren of wat ze verzuimd hebben. Zonder precieze kennis van de diefstal blijven je beschuldigingen, loze kreten.

Er is duidelijk een correlatie met Ticketmaster. Maar mensen die on-line tickets bestellen, hebben wel meer overeenkomsten. Ze bestelleen misschien ook vaak tickets bij een ander bureau, of doen andere dingen hetzelfde.
Als je creditcard gegevens steelt, waarom fraudeer je dan bij één bank? Andere banken zagen geen correlatie.

En als je het artikel leest, was er bij Ticketmaster zelf ook niets aan de hand. Het probleem zat bij een partner van hen (Inbenta Technologies). Die partner publiceerde wat op hun website. Ik kan me goed voorstellen dat de mallware steeds kortdurend actief was, waardoor controle van hun eigen systemen niets liet zien.