Ticketmaster a été victime d’un piratage très médiatisé plus tôt cette année. Désormais, d’innombrables personnes voient leurs billets transférés vers d’autres comptes, sans aucune étape de vérification pour empêcher le processus de transfert instantané. Pourquoi Ticketmaster propose-t-il 2FA pour la connexion, mais pas pour le transfert de billets ?
La société a révélé la violation de données le 15 mai, déclarant que plus de 40 millions d’utilisateurs avaient été touchés. Bien qu’aucune information de connexion ou mot de passe n’ait été volé lors du piratage, suffisamment d’informations personnelles identifiables ont été récupérées pour aider les criminels à établir un profil de données sur des cibles potentielles. Les données divulguées comprenaient les noms, les adresses e-mail, les informations de paiement et les achats de billets antérieurs.
Actualités sur la musique numérique a fait état de nombreuses personnes dont les billets ont depuis été retirés directement de leur compte. Quelques jours ou semaines avant un concert, un inconnu s’introduit dans le compte Ticketmaster d’une personne et transfère instantanément tous les billets à une autre soirée étrangère, rapidement et sans moyen de contrer le transfert.
C’est ce qui est arrivé à Ignacio Rodríguez-Viña, qui a contacté Actualités sur la musique numérique pour partager son histoire. Ignacio a acheté des billets pour voir Joaquin Sabina l’année prochaine en septembre 2024. Il dit que les billets sont restés très bien sur son compte Ticketmaster jusqu’au 7 novembre. « J’ai commencé à recevoir des dizaines d’e-mails sur mon compte Gmail me demandant de confirmer mon abonnement à différents sites Web et services », partage Ignacio.
« Celui qui a piraté mon compte a voulu m’envoyer tellement d’e-mails que je n’ai pas réalisé que mes billets étaient en train d’être transférés. Heureusement, je travaillais devant mon ordinateur et j’ai immédiatement réalisé que parmi ces emails se trouvaient deux emails indiquant que mes billets étaient transférés à deux personnes que je ne connais pas et deux autres emails disant que mon transfert avait été accepté.
- Crédit photo : Ignacio Rodriguez-Viña
- Crédit photo : Ignacio Rodriguez-Viña
Notez sur ces images que l’e-mail de notification de transfert de billet est daté de 17h21, une minute après l’e-mail d’acceptation (17h20). L’acceptation du transfert a donc eu lieu avant même que la notification du transfert n’atteigne le compte Gmail d’Ignacio. Même s’il avait été au courant, il n’aurait pas pu empêcher le transfert. Une simple vérification 2FA (par téléphone ou par e-mail) pourrait empêcher TOUS ces cas de transferts non autorisés. Il semble irresponsable de la part de Ticketmaster de ne pas proposer cette option : le transfert de billets sans 2FA doit être une option d’adhésion et non de désinscription.
Ignacio dit avoir immédiatement contacté le service client de Ticketmaster pour signaler l’incident, à la fois par appel et par e-mail. Le service client de Ticketmaster lui a demandé plus d’informations, notamment son nom, son adresse et les quatre derniers chiffres de la carte de crédit utilisée pour acheter les billets. « Ils m’ont dit qu’ils me reviendraient dans les trois jours pour me donner des jours. Je n’ai pas eu de réponse de leur part malgré les multiples mails que je leur ai envoyés. Je leur ai également demandé de bloquer mes billets pour qu’ils ne puissent plus être revendus”, partage-t-il.
Vendu à nouveau. C’est une information clé ici. Une fois transférés à quelqu’un d’autre, les billets sont de nouveau sur le marché (revendeur). Le fraudeur peut revendre les billets à un autre acheteur sans méfiance (tandis que Ticketmaster obtient une part de sa plateforme de revente) à leur valeur nominale et récolter la valeur du billet avec profit. Ticketmaster pourrait facilement empêcher cela en exigeant une authentification à deux facteurs (par téléphone ou par e-mail) pour confirmer le processus de transfert de billet.
Actualités sur la musique numérique a contacté Ticketmaster pour savoir pourquoi il n’offre pas 2FA pour les transferts, mais a reçu une réponse passe-partout. “Dans l’ensemble, nos innovations en matière de billetterie numérique ont considérablement réduit la fraude par rapport à l’époque des billets papier et des fichiers PDF dupliqués”, a déclaré un porte-parole de Ticketmaster. Actualités sur la musique numérique.
“Cet historique numérique nous permet également d’enquêter sur la situation et de restaurer les billets des fans dans presque tous les cas, la plupart obtenant la confirmation que leurs billets ont été récupérés dans les 48 heures”, poursuit le porte-parole.
Sécuriser votre compte Ticketmaster
Étant donné que Ticketmaster ne propose pas de 2FA pour les transferts de billets, chaque fois que vous achetez un billet chez eux, vous êtes vulnérable à cette arnaque. Voici comment vous protéger lorsque vous achetez des billets d’une valeur de plusieurs milliers de dollars auprès d’une organisation qui ne dispose pas d’une sécurité adéquate pour empêcher les transferts non autorisés.
Créez un mot de passe de compte Ticketmaster.com unique. Ne réutilisez jamais un mot de passe et essayez de choisir un mot de passe difficile à deviner. Par exemple, « ilovetaylorswift » est un mot de passe terrible pour qu’un Swiftie puisse sécuriser son compte. Utilisez un générateur de mots de passe pour vous aider à créer un mot de passe sécurisé et jamais utilisé auparavant.
Des pirates informatiques dédiés créent des profils de données sur des cibles potentielles, y compris d’autres mots de passe divulgués. Ils utilisent des attaques de credential stuffing pour trouver des instances de réutilisation de mots de passe, offrant ainsi un accès facile à n’importe quel compte sur lequel un mot de passe a été réutilisé. La définition d’un mot de passe unique qui n’a jamais été utilisé auparavant et qui vous est associé peut arrêter cela. Le mot de passe utilisé pour votre compte Ticketmaster ne doit jamais être le même mot de passe que votre compte de messagerie personnel. Utilisez un gestionnaire de mots de passe si vous ne vous souvenez pas de plusieurs mots de passe.
Avez-vous retiré des billets Ticketmaster de votre compte ? Vous pouvez me contacter à mon adresse e-mail Digital Music News pour signaler le vol.
