En abril, el grupo de hackers ShinyHunters accedió a la base de datos de Ticketmaster. Recopiló los nombres completos, direcciones, correos electrónicos, números de teléfono e información de tarjetas de crédito de hasta 560 millones de clientes. La empresa propiedad de Live Nation tardó casi dos meses en descubrir la infracción y cuatro meses en notificar a los usuarios afectados.
Ahora, Ticketmaster se enfrenta a una propuesta de demanda colectiva que lo acusa de no adoptar medidas de seguridad adecuadas para prevenir ataques, alertar a los usuarios de que sus datos personales se vieron comprometidos y garantizar que un proveedor de computación en la nube implementara suficientes prácticas de seguridad de datos. El pleitopresentado el viernes en un tribunal federal de California, alega negligencia y busca daños y perjuicios no especificados de al menos 5 millones de dólares en nombre de millones de usuarios.
El hackeo de Ticketmaster fue el último de una serie de ataques cibernéticos de este año dirigidos a empresas de medios y telecomunicaciones, incluidas Disney, Roku y AT&T. ShinyHunters, el grupo que se atribuyó la responsabilidad de la violación, exigió un rescate de 500.000 dólares para evitar que los datos se revendieran en la web oscura.
La demanda afirma que el hackeo fue consecuencia de que Ticketmaster no implementó procedimientos adecuados de protección de datos, incluida la “gestión de proveedores necesaria para proteger” la información de identificación personal de los consumidores en medio de una creciente ola de violaciones de alto perfil.
Los hacks, junto con los de AT&T, estaban conectados a un servidor de terceros alojado por la empresa de computación en la nube Snowflake. Los usuarios culpan a Ticketmaster por no garantizar que Snowflake, que no fue nombrado en la queja, cumpliera con las medidas de seguridad razonables. Llaman a los ataques cibernéticos un “riesgo conocido” y que “no tomar las medidas necesarias para proteger (la información del usuario) de esos riesgos dejó los datos en una condición peligrosa”.
Ticketmaster debería haber exigido a Snowflake que impusiera medidas más estrictas para proteger los datos personales, cooperar con las auditorías de seguridad y notificar oportunamente a los usuarios afectados por un hack, según la denuncia.
Los usuarios también culpan a Ticketmaster por retener información personal que debería haber eliminado. Afirman que una rama del negocio de la empresa implica vender datos sobre los usuarios (incluso cuando un cliente compra mercancías o una entrada para un evento, nombres, direcciones físicas, números de teléfono, correos electrónicos, direcciones IP, información sobre ciertas transacciones y preferencias) a empresas. socios y corredores de datos.
La demanda alega que los consumidores se ven perjudicados por mayores riesgos de robo de identidad, fraude y spam. Desde 2020, ShinyHunters ha robado más de 900 millones de registros de clientes en ataques a AT&T, GitHub y Pizza Hut, entre otras empresas. Con la amplia gama de datos disponibles para el grupo, puede crear los llamados paquetes “Fullz”, que cruzan múltiples fuentes de datos personales para armar expedientes completos sobre individuos, afirma la demanda. Incluso sin cierta información, como un número de seguro social, estos paquetes pueden usarse para obtener de manera fraudulenta licencias de conducir y préstamos falsos.
Y el valor de estos datos está aumentando debido a las nuevas tecnologías que facilitan las vías de fraude. Los ciberdelincuentes están aprovechando la información robada para idear esquemas cada vez más complicados que utilizan tecnología deepfake y descifrado de contraseñas mediante inteligencia artificial.
Los usuarios “ahora se enfrentan a años de vigilancia constante de sus registros personales y financieros”, afirma la denuncia. Además de la negligencia, los usuarios presentan demandas por enriquecimiento injusto e incumplimiento de contrato implícito.
Algunas categorías de información personal confidencial pueden venderse por hasta aproximadamente 360 dólares por registro, según la empresa de formación en ciberseguridad InfoSec Institute.
Ticketmaster no respondió de inmediato a una solicitud de comentarios. El hackeo de abril fue precedido por la presentación por parte del Departamento de Justicia de una demanda antimonopolio contra la empresa.
