Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har bötfällt Ticketmaster UK Limited med 1,25 miljoner pund för att inte hålla sina kunders personuppgifter säkra i enlighet med reglerna i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Ticketmaster misslyckats med att implementera lämpliga säkerhetsåtgärder för att förhindra en cyberattack på en chatbot som installerats på företagets onlinebetalningssida. Dataintrånget, som omfattade namn, betalkortnummer, utgångsdatum och CVV-nummer, påverkade potentiellt 9,4 miljoner av Ticketmasters kunder i hela Europa, inklusive 1,5 miljoner kunder i Storbritannien.
ICO:s utredning visade att 60 000 betalkort som tillhör Barclays Banks kunder utsatts för bedrägeri till följd av cyberattacken. Ytterligare 6 000 kort har ersatts av Monzo Bank efter att man misstänkt bedräglig användning av betalkorten.
Enligt ICO har Ticketmaster misslyckades med att:
- Bedöma riskerna med att använda en chatbot på företagets betalningssida
- Identifiera och genomföra lämpliga säkerhetsåtgärder för att minimera riskerna
- Identifiera källan till cyberattacken i rätt tid
Cyberattacken inleddes i februari 2018 när Monzo Banks kunder rapporterat bedrägliga transaktioner på deras betalkort. Även Commonwealth Bank of Australia, Barclaycard, Mastercard och American Express rapporterade bedräglig användning till Ticketmaster. Ticketmaster misslyckades dock med att identifiera problemet direkt, och det tog Ticketmaster totalt nio veckor från det att företaget uppmärksammats på de aktuella bedrägerierna till dess att företaget påbörjade en övervakning av nätverkstrafiken på deras onlinebetalningssida. Chatboten togs bort från Ticketmaster webbplats först den 23 juni 2018.
ICO:s utredning visade att Ticketmasters beslut att installera chatboten, som tillhandahållits av en tredje part, på sin onlinebetalningssida gett angripare tillgång till kunders personuppgifter varför företaget bötfälldes för brott mot GDPR. Även om överträdelsen påbörjades redan under februari 2018, gäller ICO:s beslut endast överträdelser som inträffat från och med den 25 maj 2018, när de nya reglerna enligt GDPR trädde i kraft.
Eftersom överträdelsen inträffade innan Storbritannien lämnade EU har samtliga EU:s ledande tillsynsmyndigheter godkänt påföljden i enlighet med GDPR:s samarbetsprocess.
Du kan läsa pressmeddelandet här och beslutet om sanktionsavgifter här, båda endast tillgängliga på engelska.