HACKERANGREP: Torsdag informerte billettgiganten Ticketmaster om at de har vært utsatt for et alvorlig hackerangrep, og at kundeinformasjon kan være stjålet. Foto: NTB Scanpix
HACKERANGREP: Torsdag informerte billettgiganten Ticketmaster om at de har vært utsatt for et alvorlig hackerangrep, og at kundeinformasjon kan være stjålet. Foto: NTB ScanpixVis mer

Ticketmaster

DNB oppdaget hackerangrepet på Ticketmaster for to uker siden

Bekrefter at det har vært svindelforsøk mot norske kunder.

Torsdag informerte billettleverandøren Ticketmaster om at de i lang tid har vært utsatt for et hackerangrep, og at kunders personlige informasjon eller betalingsinformasjon kan være stjålet.

Nå bekrefter DNB og deres IT-leverandør Evry overfor Dagbladet at norske Ticketmaster-kunder er forsøkt svindlet som følge av dataangrepet. Det er uvisst hvor mange nordmenn som er rammet.

Evry, som har ansvar for overvåking av svindelforsøk og korttransaksjoner i DNB, forteller at de oppdaget hackerangrepet på Ticketmaster for om lag to uker siden.

- Vi oppdaget på det tidspunktet noen uvanlige bruksmønster på noen kort, og kontaktet da kundene for å verifisere bruken. Da bruken viste seg å være ukjent for kundene, gjorde vi en analyse av historikken på de aktuelle kortene, og oppdaget at det var sammenfallende historisk bruk på Ticketmaster, sier produktsjef i Evry, Kjell-Rune Vilhelmsen.

Følgende kundeinformasjon hos Ticketmaster kan være på avveie: navn, adresse, e-post, telefonnummer, betalingsinformasjon og innloggingsdetajler. Angrepet kan ramme kunder som har kjøpt billetter i perioden september 2017 og 23. juni 2018.

DNBs kunder er rammet

Informasjonsdirektør i DNB, Even Westerveld, forteller at det har vært svindelforsøk blant DNBs kunder knyttet til Ticketmaster. Han sier at de har hatt en ekstra tett dialog med Evry de siste dagene, etter at Ticketmaster har gått ut med informasjon og omfang.

Artikkelen fortsetter under annonsen

- Slike svindelforsøk som dette skjer dessverre hele tida. DNB har faste prosedyrer og ringer alltid kunden og spør om det stemmer at vedkommende har brukt kortet sitt på et bestemt sted, og hvis svindelforsøket blir bekrefter fryser vi transaksjonen, slik at pengene ikke forsvinner, sier Westerveld.

Han forteller at mange av DNBs kunder fikk en e-post angående hackerangrepet på Ticketmaster på torsdag.

- Vårt råd til kundene er fortsatt å følge med, og sperre kort dersom de mistenker svindel eller blir kontaktet av Ticketmaster.

- Uansvarlig

Ticketmaster-angrepet omfatter så mange som fem prosent av kundene til billettselskapet globalt. Bare i Norge gjennomføres det fem millioner billettkjøp i året. Til tross for at DNB-kunder er rammet ønsket ikke banken å gå bredt ut med informasjon om svindelforsøkene.

- Det ville vært uansvarlig av oss å be alle som noen gang har kjøpt billett hos TM om å sperre kort, så lenge vi ikke hadde informasjon om omfang eller om nordmenn i det hele tatt var berørt, sier Westerveld.

- Burde dere gått bredere ut, sett i lys av det globale og lokale omfanget?

- Vi har fått veldig få spørsmål om dette fra kunder, og vi mener vi har håndtert dette på en god måte, sier DNBs informasjonsdirektør.

- Av sikkerhetsmessige hensyn ønsker vi ikke å gå nærmere inn på hvordan vi overvåker og varslingsrutiner vi har når det gjelder slike hendelser, sier Vilhelmsen i Evry.

Dagbladet har også forsøkt å få en kommentar fra daglig leder i norske Ticketmaster, Kristian Seljeset, som ikke ønsker å uttale seg. Han henviser til Ticketmasters internasjonale pressekontor. Det internasjonale pressekontoret svarer heller ikke på spørsmålene, men henviser tilbake til gårsdagens pressemelding.

Dagbladet har blant annet stilt Ticketmaster følgende spørsmål:

  • Hvordan kan dette skje over så lang tid?
  • Hvor mange nordmenn er advart?
  • Hvorfor skylder dere på «en tredjepartsleverandør» når det er dere som har ansvaret?
  • Hva slags kundeinformasjon kan potensielt ha blitt stjålet fra norske kunder og brukere?
  • Har Ticketmaster kontroll på angrepet og informasjonen som er lekket?

Ticketmaster har foreløpig ikke besvart Dagbladets gjentatte henvendelser.

- Kritikkverdig

- Det er absolutt kritikkverdig, sier Gisle Hannemyr om Ticketmasters håndtering av kunders personlige informasjon og betalingsinformasjon.

Han er lektor ved Institutt for informatikk ved Universitetet i Oslo, og er ekspert på personvern og informasjonssikkerhet.

- KRITIKKVERDIG: Gisle Hannemyr, personvernekspert. Foto: John T. Pedersen / Dagbladet
- KRITIKKVERDIG: Gisle Hannemyr, personvernekspert. Foto: John T. Pedersen / Dagbladet Vis mer

Hvordan kunne dette skje? Hannemyr forklarer det slik:

- Ticketmaster benyttet et eksternt Javascript levert av et eksternt selskap som heter Inbenta Technologies på sine nettsider. Filene som utgjorde dette programmet ble lagret på Inbentas servere, og ble lastet direkte opp i brukeres nettleser «innbakt» i nettsiden til Ticketmaster.

Denne teknikken kalles CDN (Content Delivery Network), utdyper lektoren.

- Hadde ikke kontroll

Ifølge Hannemyr er det ikke uvanlig å benytte Javascript på denne måten. Det som gikk galt hos Ticketmaster, var ifølge Hannemyr at Ticketmaster ikke hadde kontroll over innholdet i scriptet, men overlot ansvaret med å sikre scriptet til Inbenta.

- Det Javascriptet som Inbenta leverte ble på et eller annet tidspunkt kompromittert av ukjente, og endret slik at dette scriptet sendte data som var eksponert i nettleseren - inklusive påloggingskredentialer og betalingsinformasjon - til disse ukjente personene. Fordi programmet ble «innbakt» direkte i nettleseren fra Inbentas servere, hadde Ticketmaster ikke kontroll over innholdet i scriptet.

Inbenta har publisert en uttalelse om hackingskandalen på sine nettsider.

Der legger de skylda på Ticketmaster, som de mener har opptrådt uansvarlig ved å «bake inn» scriptet i en betalingsside.

Inbenta skriver videre at de ville ha frarådet Ticketmaster fra å gjøre dette - dersom de hadde kjent til det.

Mellom to stoler

Gisle Hannemyr mener at hackingskandalen kunne skje fordi ansvarsforholdet rundt datasikkerheten ikke har vært avklart.

- Ticketmaster antar at Inbeta er ansvarlig for scriptet og sørger for at det er sikkert å bruke overalt. Inbeta, på sin side, antar at Ticketmaster ikke bruker scriptet på sider med sensitive data - som betalingsinformasjon. Dette scriptet faller dermed mellom to stoler, og ingen overvåker det for å oppdage eventuell hacking.

Samtidig påpeker Hannemyr at CDN-teknikken, som Ticketmaster benytter seg av, er langt fra uvanlig.

- Det har ikke usannsynlig at tilsvarende sårbarheter finnes i andre Javascript som det heller ikke er noen som passer på. Dette kan være en påminnelse om at dersom man benytter CDN, så bør man revurdere dette - eller finne måter å sikre bruken av en slik teknikk.