TICKETMASTER – Les données de 560 millions d’utilisateurs dérobées et mises en vente
Le 20 mai 2024, le spécialiste de la vente de billets de spectacles, Ticketmaster, a annoncé avoir « identifié des activités non autorisées au sein d’un environnement de base de données en ligne d’une tierce partie contenant des données de l’entreprise ».
Une semaine après cette annonce, un jeu de données concernant vraisemblablement 560 millions d’utilisateurs de la société a été mis en ligne sur un forum spécialisé. Un groupe spécialisé dans la cybersécurité, qui a eu accès à un échantillon des données, a affirmé qu’il avait un « degré élevé de confiance dans la légitimité des données »[1].
Ces données contiendraient l’identité des utilisateurs, leur adresse e-mail et postale, leur numéro de téléphone, une empreinte de leur numéro de carte bancaire et l’historique des transactions financières réalisées.
L’origine des données n’est pas (encore) connue avec certitude. La société précise qu’une « base de données en ligne d’une tierce partie » a été compromise. Le nom de cette partie n’est cependant pas connu. La société spécialisée dans l’hébergement de données Snowflake a été pointée du doigt. Cette dernière, qui a engagé deux sociétés spécialisées dans l’analyse d’indicent, a depuis nié son implication, en précisant toutefois qu’il semble y avoir « une campagne ciblée sur les utilisateurs disposant d’une authentification à facteur unique » en utilisant « des identifiants précédemment achetés ou obtenus par des logiciels malveillants de vol d’informations », et que les sociétés concernées ont été informées.
Les clients de Ticketmaster n’ont pas (encore) été informés de cet incident.
Mise à jour du 1er août 2024 : Le Canada ouvre une enquête
Le Commissaire à la protection de la vie privée du Canada annonce « ouvr[ir] une enquête sur l’atteinte à la sécurité des données de Ticketmaster » pour « examiner les pratiques de l’entreprise » et déterminer « si Ticketmaster a respecté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) [et] la loi fédérale sur la protection des renseignements personnels dans le secteur privé ».