See Tickets, el servicio de venta de entradas para cines, teatros y eventos propiedad de Vivendi, ha comunicado el descubrimiento de una brecha de seguridad de larga duración en su página web.
En la notificación de violación de datos que ha emitido la firma puede leerse que fue descubierta en abril de 2021 y eliminada por completo de la web en enero de 2022.
Sin embargo, la investigación que SeeTickets ha llevado a cabo con el apoyo de una firma forense ha revelado que la infección ocurrió el 25 de junio de 2019. Así, la duración total de la exposición sería de algo más de 2,5 años. En este intervalo los cibermalos pudieron campar a sus anchas y hacerse con información privada de los clientes muy sensible.
La brecha de seguridad resulta bastante preocupante no solo por el dilatado intervalo de tiempo, sino también por los datos que quedaron expuestos. Los piratas podrían haber accedido a nombres completos, dirección física, código postal, número de tarjeta, fecha de vencimiento de la tarjeta y código CVV.
La exfiltración de datos se llevó a cabo mediante un skimmer, un fragmento de código JavaScript inyectado en el apartado de pago del pedido.
La compañía de venta de entradas también ha estado trabajando con Visa, MasterCard, American Express y Discover. Fue a mediados de septiembre cuando concluyó que los cibermalos podían haberse hecho con los datos de las tarjetas perfectamente.
See Tickets ha advertido a sus usuarios que los actores de amenazas tienen en su poder dicha información y pueden recibir compras u operaciones no deseadas. También pueden producirse robo de identidad y ataques de phishing.
Sin estimaciones de afectados
No obstante, indica que no se han filtrado números de seguridad social, documentos de identidad o información de cuentas bancarias, porque no se almacenan en sus sistemas.
Por ahora no se sabe la cifra de clientes afectados y See Tickets no ha llegado a aclarar si los skimmers infectaron su web global o cualquiera de los cinco dominios que opera para audiencias regionales en EE.UU, Canadá y Europa. En España See Tickets funciona con https://www.seetickets.com/es
La página de venta de entradas no ha ofrecido un servicio de protección de identidad sin coste a los afectados, algo que sí se proporciona en casos de este tipo para tratar de que el impacto sea menor en los clientes.
See Tickets se fundó en 1991, es la segunda web de venta de entradas en Reino Unido y anualmente tiene una facturación de entre 100 y 200 millones de dólares. La web cuenta con 9 millones de visitantes mensuales.