Ticketmaster reset wachtwoorden na ongewone inlogpogingen
Ticketmaster heeft van een onbekend aantal gebruikers de wachtwoorden gereset nadat er ongewone inlogpogingen bij accounts waren waargenomen. Het gaat om inlogpogingen met wachtwoorden die bij andere websites en diensten zijn buitgemaakt.
"Om je Ticketmaster-account te beschermen hebben we je wachtwoord gereset. Zo kunnen wij ervoor zorgen dat je account, je persoonlijke gegevens en tickets van aankomende events veilig blijven", aldus Ticketmaster. Volgens de kaartverkoper hergebruiken mensen vaak dezelfde inloggegevens op veel verschillende websites. "Dit betekent dat als deze gegevens door één bedrijf worden blootgesteld, ze door derden kunnen worden gebruikt voor toegang tot meerdere websites. Zorg er dus voor dat je altijd verschillende inloggegevens gebruikt voor elk van je online accounts, om dergelijke situaties te voorkomen."
Via de website van Ticketmaster kunnen gebruikers een nieuw tijdelijk wachtwoord aanvragen. Vervolgens wordt gebruikers aangeraden om dit wachtwoord naar een zelfgekozen wachtwoord te wijzigen, die geen overeenkomsten mag vertonen met eerder gebruikte wachtwoorden. Verschillende gebruikers vroegen zich af of de e-mail wel echt van Ticketmaster afkomstig was. Via Twitter laat de kaartverkoper weten dat het de e-mail inderdaad heeft verstuurd.
Reacties (33)
Ticketmaster geeft zelf aan dat ze alle wachtwoorden gereset hebben, en er zijn meerdere mensen die aangeven dat ze een sterk uniek wachtwoord gebruikten wat nu ook gereset is. Ik vind het een raar verhaal. Ticketmaster moet meer duidelijkheid geven.
Jammer dat je bij de ww reset mail een nieuw wachtwoord toegestuurd krijgt die niet verloopt.
Mooier was een tijdsgebonden token waarmee je een nieuw wachtwoord kan instellen.
Mooier was een tijdsgebonden token waarmee je een nieuw wachtwoord kan instellen.
Het gaat om inlogpogingen met wachtwoorden die bij andere websites en diensten zijn buitgemaakt.
inlogpogingen... maar zijn ze ook geslaagd?Of wordt nu preventief elk account uitgeschakeld waar een poging wordt gedaan met een buitgemaakt wachtwoord in te loggen ook als dat niet wordt (her)gebruikt op hun site?
Ik heb de mail ook gekregen, maar... Het mailadres en wachtwoord dat ik gebruik voor Ticketmaster zijn beiden uniek. Ik gebruik ze nergens anders. Dit doet mij vermoeden dat Ticketmaster zelf het lek heeft veroorzaakt, maar het op deze manier probeert te verbloemen. Of erger nog: ze hebben misschien zelf geen idee dat ze zelf gehackt zijn.
Door Anoniem: Jammer dat je bij de ww reset mail een nieuw wachtwoord toegestuurd krijgt die niet verloopt.
Mooier was een tijdsgebonden token waarmee je een nieuw wachtwoord kan instellen.
Überhaupt jammer dat je een wachtwoord toegestuurd krijgt via de mail. Gangbaar en best practice is om een wachtwoordreset-link toe te sturen met een wachtwoordreset-formulier.Mooier was een tijdsgebonden token waarmee je een nieuw wachtwoord kan instellen.
Ticketmaster schrijft:
"Mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte"
Ze doen nu net voorkomen alsof ik het lek heb veroorzaakt door een wachtwoord te her-gebruiken.
Belachelijk, schrijf dan gewoon dat je zelf het lek bent.
"Mogelijk met behulp van inloggegevens die zijn verkregen tijdens een lek bij een andere dienst waar je hetzelfde wachtwoord gebruikte"
Ze doen nu net voorkomen alsof ik het lek heb veroorzaakt door een wachtwoord te her-gebruiken.
Belachelijk, schrijf dan gewoon dat je zelf het lek bent.
Wat ook jammer is, is dat die links die ze gebruiken in de mail plain http links zijn.. Veiligheid voor alles ja.
Door Anoniem: Wat ook jammer is, is dat die links die ze gebruiken in de mail plain http links zijn.. Veiligheid voor alles ja.
Daarnaast dat zijn het ook nog eens tracking links (http://click.email.ticketmaster.nl/...) ipv. schone links die direct gaan naar de pagina waar je moet zijn. Het enige positieve wat ik er over kan zeggen is dat het geen tracking links van een derde partij zijn.Waarom gaan organisatoren van evenementen hier in NL altijd met zulke oplichters in zee? Is dat wettelijk verplicht? Die ook nog eens je gegevens lekken. Als ze het al niet doorverkopen! jammer dit
Door Anoniem: Ik heb de mail ook gekregen, maar... Het mailadres en wachtwoord dat ik gebruik voor Ticketmaster zijn beiden uniek. Ik gebruik ze nergens anders. Dit doet mij vermoeden dat Ticketmaster zelf het lek heeft veroorzaakt, maar het op deze manier probeert te verbloemen. Of erger nog: ze hebben misschien zelf geen idee dat ze zelf gehackt zijn.
Hier idem, email adres en wachtwoord zijn bij mij uniek per website. No way dat deze informatie uit een andere lek gekomen is.
Door Anoniem: Ik heb de mail ook gekregen, maar... Het mailadres en wachtwoord dat ik gebruik voor Ticketmaster zijn beiden uniek. Ik gebruik ze nergens anders. Dit doet mij vermoeden dat Ticketmaster zelf het lek heeft veroorzaakt, maar het op deze manier probeert te verbloemen. Of erger nog: ze hebben misschien zelf geen idee dat ze zelf gehackt zijn.
Exact hetzelfde hier. Naast dat het wachtwoord uniek is, is het ook nog eens bovengemiddeld lang en willekeurig.
Door Anoniem:
Door Anoniem: Wat ook jammer is, is dat die links die ze gebruiken in de mail plain http links zijn.. Veiligheid voor alles ja.
Daarnaast dat zijn het ook nog eens tracking links (http://click.email.ticketmaster.nl/...) ipv. schone links die direct gaan naar de pagina waar je moet zijn. Het enige positieve wat ik er over kan zeggen is dat het geen tracking links van een derde partij zijn.En zelfs dat is het niet, het zijn tracking links naar iets van sales force:
click.email.ticketmaster.nl. 3035 IN CNAME click.virt.s4.exacttarget.com.
Door Anoniem:
No way dat deze informatie uit een andere lek gekomen is.
Door Anoniem: Ik heb de mail ook gekregen, maar... Het mailadres en wachtwoord dat ik gebruik voor Ticketmaster zijn beiden uniek. Ik gebruik ze nergens anders. Dit doet mij vermoeden dat Ticketmaster zelf het lek heeft veroorzaakt, maar het op deze manier probeert te verbloemen. Of erger nog: ze hebben misschien zelf geen idee dat ze zelf gehackt zijn.
Hier idem, email adres en wachtwoord zijn bij mij uniek per website. No way dat deze informatie uit een andere lek gekomen is.
Idem, ik heb 2 unieke accounts destijds aangemaakt, met beide een uniek email adres, en een random gegenereerd wachtwoord. Op beide email-addressen heb ik hetzelfde identieke mailtje binnengekregen, dat ik mogelijk een wachtwoord reused heb. Dit is onmogelijk, en klinkklare onzin (ik geef elke organisatie een uniek email-adress zoals foo@mijn_eigen_domein.tld met een random generated watchwoord, dat ik trouwens meestal moet inkorten, omdat je vaak niet meer als 8 a 10 chars mag gebruiken).
Dit klinkt als een gevalletje damage-control .. ze zijn zeer waarschijnlijk gewoon gehackt (sql injection attack oid), en nu proberen ze het op anderen af te schuiven.
=paulv
Hier ook een uniek wachtwoord. Suggestieve e-mail zoals hier boven vermeldt is.
Door Anoniem: Ik heb de mail ook gekregen, maar... Het mailadres en wachtwoord dat ik gebruik voor Ticketmaster zijn beiden uniek. Ik gebruik ze nergens anders. Dit doet mij vermoeden dat Ticketmaster zelf het lek heeft veroorzaakt, maar het op deze manier probeert te verbloemen. Of erger nog: ze hebben misschien zelf geen idee dat ze zelf gehackt zijn.
Precies hetzelfde verhaal geld voor mij, uniek e-mailadres en password heb ik voor TM. Raar verhaal.
Door Anoniem:
Het verstuurde wachtwoord is, volgens de mail, 30 minuten geldig. Dat is qua veiligheid dus hetzelfde als het verstrekken van een wachtwoordresetlink, die normaal gesproken ook beperkt geldig is.Door Anoniem: Jammer dat je bij de ww reset mail een nieuw wachtwoord toegestuurd krijgt die niet verloopt.
Mooier was een tijdsgebonden token waarmee je een nieuw wachtwoord kan instellen.
Überhaupt jammer dat je een wachtwoord toegestuurd krijgt via de mail. Gangbaar en best practice is om een wachtwoordreset-link toe te sturen met een wachtwoordreset-formulier.Mooier was een tijdsgebonden token waarmee je een nieuw wachtwoord kan instellen.
Handig natuurlijk diensten van derden gebruiken, als bedrijf heb je alleen geen enkele controle meer over de data. Nog afgezien van de privacy-risico's voor de klant (persoonlijk doe ik steeds minder online waarbij je je naw-gegevens gebruikt).
Ook bij Ticketmaster begrijpen ze dit totaal niet. Daarnaast voldoen ze ook niet aan de AVG, probeer maar eens een account te verwijderen. Doet Ticketmaster niet echt, blijven bestaan alleen kun jij niet meer inloggen.
Komende jaren zal nog veel data, met persoonsgegevens, via derden lekken cq misbruikt worden.
Sites die jouw privacy niet respecteren, makkelijk inzichtelijk te maken via verschillende extensies, sla ze over.
Ook bij Ticketmaster begrijpen ze dit totaal niet. Daarnaast voldoen ze ook niet aan de AVG, probeer maar eens een account te verwijderen. Doet Ticketmaster niet echt, blijven bestaan alleen kun jij niet meer inloggen.
Komende jaren zal nog veel data, met persoonsgegevens, via derden lekken cq misbruikt worden.
Sites die jouw privacy niet respecteren, makkelijk inzichtelijk te maken via verschillende extensies, sla ze over.
Oftewel, ze zijn gehackt en proberen de reset het op deze manier op ons af te schuiven.
Jammer dat Ticketmaster geen uitleg heeft staan hoe ik mijn account geheel kan verwijderen
Wat mij betreft de enige juiste manier om terug te koppelen dat de schuld bij gebruikers ligt niet de juiste manier is.
Wat mij betreft de enige juiste manier om terug te koppelen dat de schuld bij gebruikers ligt niet de juiste manier is.
Is er iemand die niet het reset mailtje gehad heeft? Mijn vermoeden is dat ze iedereen gereset hebben.
Ik heb de e-mail ook ontvangen en vond het in eerste instantie een valide verhaal omdat het e-mail adres destijds bij de Adobe hack is gevonden. [Overigens gebruik ik wel overal een ander, sterk wachtwoord.]
Ik stel voor dat degenen die een uniek adres gebruiken allemaal een klacht indienen bij de Autoriteit Persoonsgegevens en in cc Ticketmaster. Dat is denk ik de enige optie om meer duidelijkheid te krijgen of het hack wel/niet bij Ticketmaster zelf heeft plaatsgevonden.
Ik stel voor dat degenen die een uniek adres gebruiken allemaal een klacht indienen bij de Autoriteit Persoonsgegevens en in cc Ticketmaster. Dat is denk ik de enige optie om meer duidelijkheid te krijgen of het hack wel/niet bij Ticketmaster zelf heeft plaatsgevonden.
Door Anoniem: Ik heb de e-mail ook ontvangen en vond het in eerste instantie een valide verhaal omdat het e-mail adres destijds bij de Adobe hack is gevonden. [Overigens gebruik ik wel overal een ander, sterk wachtwoord.]
Ik stel voor dat degenen die een uniek adres gebruiken allemaal een klacht indienen bij de Autoriteit Persoonsgegevens en in cc Ticketmaster. Dat is denk ik de enige optie om meer duidelijkheid te krijgen of het hack wel/niet bij Ticketmaster zelf heeft plaatsgevonden.
Ik stel voor dat degenen die een uniek adres gebruiken allemaal een klacht indienen bij de Autoriteit Persoonsgegevens en in cc Ticketmaster. Dat is denk ik de enige optie om meer duidelijkheid te krijgen of het hack wel/niet bij Ticketmaster zelf heeft plaatsgevonden.
Als je een uniek email adres gebruikt en je hebt dit mailtje gekregen betekend niet dat er ook inlogpogingen met jouw email adres geweest zijn.
De kans bestaat dat ticketmaster iedereen uit voorzorg reset mail heeft gestuurd.
Dus een klacht indienen bij autoriteit persoongegevens voor wat? onduidelijke informatie van ticketmaster?
Ticketmaster zou toch echt met meer informatie moeten komen naar de gebruiker toe of anders naar de gebruikers toe waar de "ongewone" inlogpogingen bij gedetecteerd zijn.
Onjuist verwijt van ticketmaster. Mijn wachtwoord was uniek en voldeed aan de gangbare complexiteitseisen. Als dat misbruikt is betekent dat dat ticketmaster zelf gehacked is en dienen ze een datalek te rapporteren, niet hun klanten te beschuldigen.
Ze verwijzen nergens dat het om "jou" account gaat waar inlogpogingen op waren, maar "...bij een aantal...". (dat er in de zin erna over "je" wordt gesproken klinkt meer als iets wat er tussendoor is geslipt bij het opstellen van de email.) Zo te horen hebben ze uit veiligheidsoverwegingen (of door een intern foutje) voor alle accounts de wachtwoorden gereset.
Is niet de eerste keer bij deze club. Twee jaar geleden Zijn accounts gehackt en creditcard fraudes geweest. Ook heel vreemd dat je niet zelf je account kunt verwijderen. En als je er om vraagt krijg je geen reactie. Mag van mij best flink aangepakt worden met een forse boete.
Ik gebruik altijd alleen maar het tijdelijke wachtwoord en laat dat na aanschaffen van kaartjes verlopen.
De keer daarna dat ik kaartjes wil kopen vraag ik gewoon een nieuw tijdelijk wachtwoord aan en gebruik dat maar één keer. Waarom moeilijk doen met onthouden van wachtwoorden?
De keer daarna dat ik kaartjes wil kopen vraag ik gewoon een nieuw tijdelijk wachtwoord aan en gebruik dat maar één keer. Waarom moeilijk doen met onthouden van wachtwoorden?
Door Anoniem: Ik gebruik altijd alleen maar het tijdelijke wachtwoord en laat dat na aanschaffen van kaartjes verlopen.
De keer daarna dat ik kaartjes wil kopen vraag ik gewoon een nieuw tijdelijk wachtwoord aan en gebruik dat maar één keer. Waarom moeilijk doen met onthouden van wachtwoorden?
Goede tip bij een tijdelijk wachtwoord. Indien dit elders niet kan en je kan het wachtwoord per mail opvragen random wat invullen.De keer daarna dat ik kaartjes wil kopen vraag ik gewoon een nieuw tijdelijk wachtwoord aan en gebruik dat maar één keer. Waarom moeilijk doen met onthouden van wachtwoorden?
Goed om te lezen dat veel mensen een uniek mailadres gebruiken. Handig, heb zo al een aantal lekken ontdekt, zelfs de grootste bank van Nederland is niet zuinig op mailadressen. Die heeft sowieso steeds minder op met privacy en service.
Dit is nu de tweede keer dat ik mail heb van Ticketmaster over privacy problemen. Meest schandalige vind ik dat ze in de mail zetten dat je niet kunt reageren, zeer klantonvriendelijk. Naast het verbloemen van de waarheid.
Door Anoniem: Hier ook een uniek wachtwoord. Suggestieve e-mail zoals hier boven vermeldt is.
Het zou theoretisch natuurlijk mogelijk zijn dat 'een uniek random gegenereerd lang wachtwoord' ook door iemand anders gebruikt is. Maar door zoveel verschillende mensen tegelijk...Door Anoniem: Is er iemand die niet het reset mailtje gehad heeft? Mijn vermoeden is dat ze iedereen gereset hebben.
Het is natuurlijk niet te bewijzen, dat iets niet gebeurt is, maar ik heb ook zo'n mail gehad, want ooit een keer een kaartje nodig gehad. Ik had m'n oude ww nog in m'n passwordsafe, alleen werkte niet meer (en ww was lang en random).Door Anoniem: Onjuist verwijt van ticketmaster. Mijn wachtwoord was uniek en voldeed aan de gangbare complexiteitseisen.
Als het goed is, weet ticketmaster helemaal niet of het wachtwoord lang en complex was, tenzij ze bekende (unsalted) hashes gebruiken, die gelekt zijn, en overeenkomen met wat in hun systeem staat en die matchen met versies van hashes, waarvan de cleartext versie bekend is (aangenomen dat ze de wachtwoorden niet zelf cleartext opslaan o.i.d.).Aan de andere kant, als er ongewone inlog-activiteit is gedetecteerd, waarvan er mogelijk zelfs een deel is geslaagd. Mogelijk is er daarom terecht besloten alle wachtwoorden ongeldig te maken en iedereen te vragen om een nieuw wachtwoord in te stellen.
Meest schandalige vind ik dat ze in de mail zetten dat je niet kunt reageren, zeer klantonvriendelijk.
Maar waarschijnlijk kan je ook helemaal niet reageren, omdat alles is geautomatiseerd en je dus nooit een inhoudelijk antwoord op je reactie hoeft te verwachten.Door Anoniem:
Die smoes lees ik heel vaak bij e-mails. Als antwoordadres kun je altijd een geldig adres opgeven, pure nonsens dus.Meest schandalige vind ik dat ze in de mail zetten dat je niet kunt reageren, zeer klantonvriendelijk.
Maar waarschijnlijk kan je ook helemaal niet reageren, omdat alles is geautomatiseerd en je dus nooit een inhoudelijk antwoord op je reactie hoeft te verwachten.Het lijkt dat steeds meer, vooral grote bedrijven, steeds minder service willen verlenen. Je ziet ook steeds vaker dat ze geen contactformulier/mailadres hebben, maar je via chat (wat meestal niet werkt) of facebook/twitter (privacy?) digitaal kunt reageren. Veel klantonvriendelijker gaat het niet worden.
Mijn account had een uniek en sterk wachtwoord en is ook reset door Ticketmaster.
Ik heb via het klachten formulier laten weten dat ik het goed vind dat ze actie ondernemen als er " iets" loos is.
Wel verwacht ik duidelijkere communicatie. Verder de vraag gesteld of mijn tickets zijn gedownload.
Helaas tot nu toe geen reactie van Ticketmaster.
Ik heb via het klachten formulier laten weten dat ik het goed vind dat ze actie ondernemen als er " iets" loos is.
Wel verwacht ik duidelijkere communicatie. Verder de vraag gesteld of mijn tickets zijn gedownload.
Helaas tot nu toe geen reactie van Ticketmaster.
Door Anoniem: Ik heb de mail ook gekregen, maar... Het mailadres en wachtwoord dat ik gebruik voor Ticketmaster zijn beiden uniek. Ik gebruik ze nergens anders. Dit doet mij vermoeden dat Ticketmaster zelf het lek heeft veroorzaakt, maar het op deze manier probeert te verbloemen. Of erger nog: ze hebben misschien zelf geen idee dat ze zelf gehackt zijn.
Ik kreeg ook de mail van ticketmaster maar ik ben nog nooit op deze website geweest.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
