Kaartverkoper Ticketmaster heeft voor een datalek uit 2018 een boete van omgerekend 1,4 miljoen euro gekregen. Aanvallers wisten via een derde partij genaamd Ibenta kwaadaardige code op de Ticketmaster-website te krijgen die vervolgens de creditcardgegevens van klanten onderschepte.

Volgens de Britse privacytoezichthouder ICO had Ticketmaster onvoldoende maatregelen getroffen om de gegevens van klanten te beschermen. Bij de aanval zouden de gegevens van mogelijk 9,4 miljoen Europese Ticketmaster-klanten zijn buitgemaakt, waaronder 1,5 miljoen klanten in het Verenigd Koninkrijk. Ticketmaster ontving zo'n duizend klachten over financiële schade en emotioneel leed.

Ibenta leverde een chatbot waar Ticketmaster op de betaalpagina gebruik van maakte. De kaartverkoper had echter de risico's hiervan niet in kaart gebracht. Ook had het geen beveiligingsmaatregelen genomen om deze risico's weg te nemen en wist het bedrijf de oorzaak van frauduleuze creditcardtransacties niet tijdig te achterhalen. De Britse bank Monzo informeerde Ticketmaster namelijk al op 12 april 2018 dat de systemen waren gecompromitteerd. Pas op 27 juni 2018 waarschuwde de kaartverkoper klanten voor het datalek.

De ICO stelt dat Ticketmaster persoonlijke data op zo'n manier verwerkte waarbij gegevens niet goed waren beveiligd. Daarmee heeft het bedrijf de AVG overtreden. "Wanneer klanten hun persoonlijke gegevens overhandigen verwachten dat ze dat Ticketmaster daar goed mee omgaat. Dat was niet het geval", aldus James Dipple-Johnstone van de ICO. "Ticketmaster had meer moeten doen om het risico van een cyberaanval te verkleinen." Met de boete wil de ICO een boodschap afgeven dat de bescherming van klantgegevens bovenaan de prioriteitenlijst van bedrijven hoort te staan.