0
0
A Ticketmaster alega que a multa de violação de dados de £1,25 milhões da ICO o libera de qualquer responsabilidade por sua rede ser infectada por malware de skimming de cartão, de acordo com correspondência vista pelo The Register.
A empresa foi multada no início deste mês depois que o regulador de dados do Reino Unido, o Escritório do Comissário de Informações, decidiu que havia violado as leis de proteção de dados ao não proteger adequadamente sua rede.
No entanto, a Ticketmaster insiste que não é responsável por um cliente pelo compromisso de sua rede, tentando explorar uma aparente brecha legal para tirar a luta do leitor Reg Richard por compensação.
Quando multou a Ticketmaster, a ICO disse: “A duração total da violação de dados pessoais foi entre fevereiro de 2018 e 23 de junho de 2018… no entanto, as datas em análise para fins deste aviso de penalidade foram de 25 de maio de 2018 a 23 de junho de 2018.”
Essas datas são significativas: embora a ICO tenha esclarecido claramente que a infraestrutura da Ticketmaster foi comprometida em fevereiro, sua multa só cobriu o período de maio, quando sanções mais altas sob o Regulamento Geral de Proteção de Dados (GDPR) da UE estavam disponíveis – e agora a Ticketmaster aparentemente quer usá-lo para evitar que seus sistemas se comprometessem em primeiro lugar.
Nosso leitor Richard viajou para os EUA em fevereiro de 2018. Tanto seus cartões de débito quanto de crédito foram cancelados por seu banco, que tinha visto uma tentativa de usá-los fraudulentamente na Ticketmaster. Isso foi muito antes do site de revenda de ingressos se reunir e remover um chatbot comprometido alimentado por Javascript de sua página de pagamentos. Tendo lutado para encontrar fontes alternativas de dinheiro enquanto os Estados Unidos, Richard exigiu compensação da Ticketmaster.
Em uma carta vista pelo The Register,os advogados da Ticketmaster disseram a Richard:
Estamos escrevendo para informá-lo que a ICO terminou sua investigação e publicou suas descobertas em novembro de 2020. A ICO não fez nenhuma constatação sobre quaisquer violações por parte de nosso cliente de suas funções durante o período durante o qual você fez transações com nosso cliente usando sua conta associada a [endereço de e-mail removido]. Assim, a posição concluída do nosso cliente é que ele não tem responsabilidade com você decorrente do Incidente de Segurança de Dados e, por essa razão, considera seu inquérito encerrado e não estará fornecendo compensação.
Isso foi uma surpresa para Richard, que nos mostrou sua carta. Ele não ficou muito satisfeito e disse que tinha contatado a ICO.
Fizemos a mesma coisa. Um porta-voz da ICO disse ao The Register: “A multa de 1,25 milhões de libras emitida à Ticketmaster foi em relação às infrações do GDPR que só entraram em vigor em 25 de maio de 2018. Embora a multa, portanto, só pudesse estar relacionada a infrações a partir de 25 de maio de 2018, antes dessa data a Ticketmaster ainda teria que cumprir a Lei de Proteção de Dados de 1998.”
A Ticketmaster foi convidada a comentar a alegação de Richard.
Estragando o navio por um ha’porth de piche
A Ticketmaster poderia ter ligado a brecha por aproximadamente 0,03% da eventual soma da multa, de acordo com a empresa de informações de fonte coletiva HackerOne. A engenheira de segurança Laurie Mercer nos disse: “O custo da vulnerabilidade real em si, a recompensa é muitas vezes muito menor do que a penalidade monetária que a ICO colocou lá fora.”
Ele acrescentou: “Vulnerabilidades críticas como a injeção de SQL podem atrair uma recompensa de € 3.000 a € 4.000. E, claro, o impacto se isso fosse explorado por um ator malicioso, teria levado a algo mais dar errado.”
Enquanto a Ticketmaster foi criada pela Magecart graças ao chatbot do chatbot do fornecedor de chatbot Inbenta, o chatbot Javascript da Inbenta está comprometido, o princípio permanece semelhante. Não permita js não autenticado em páginas de pagamento e, especialmente, não use Javascript de terceiros que você não está monitorando. (A Inbenta afirma que sabia dos riscos e teria dito à Ticketmaster para remover o chatbot das páginas de pagamento se soubesse.)
Mesmo que a Ticketmaster decidisse não criar um esquema completo de recompensa por bugs, uma caixa de entrada de e-mail de divulgação responsável verificada uma vez por dia por um corpo de TI seria melhor do que nada, acrescentou Mercer.
FONTE: THE REGISTER