Warum bietet Ticketmaster keine 2FA für Ticketübertragungen an?

Ticketmaster erlebte Anfang des Jahres einen aufsehenerregenden Hack. Mittlerweile sehen unzählige Menschen, wie ihre Tickets auf andere Konten übertragen werden – ohne dass ein Verifizierungsschritt erforderlich ist, um den sofortigen Übertragungsprozess zu verhindern. Warum verfügt Ticketmaster über 2FA für die Anmeldung, aber nicht für die Ticketübertragung?

Das Unternehmen gab die Datenschutzverletzung am 15. Mai bekannt und gab an, dass mehr als 40 Millionen Benutzer betroffen seien. Während bei dem Hack keine Anmeldeinformationen oder Passwörter gestohlen wurden, wurden genügend persönlich identifizierbare Informationen erfasst, um Kriminellen dabei zu helfen, ein Datenprofil potenzieller Ziele zu erstellen. Zu den durchgesickerten Daten gehörten Namen, E-Mail-Adressen, Zahlungsinformationen und frühere Ticketkäufe.

Digitale Musiknachrichten hat von zahlreichen Personen berichtet, denen seitdem die Tickets direkt von ihrem Konto abgebucht wurden. Tage oder Wochen vor einem Konzert bricht ein Fremder in das Ticketmaster-Konto einer Person ein und überträgt alle Tickets sofort an eine andere ausländische Partei – blitzschnell und ohne Möglichkeit, die Übertragung zu verhindern.

Das ist Ignacio Rodríguez-Viña passiert, der sich gemeldet hat Digitale Musiknachrichten um seine Geschichte zu teilen. Ignacio kaufte bereits im September 2024 Tickets für Joaquin Sabina im nächsten Jahr. Er sagt, dass die Tickets bis zum 7. November problemlos in seinem Ticketmaster-Konto lagen Dienstleistungen“, teilt Ignacio mit.

„Wer mein Konto gehackt hat, wollte mir so viele E-Mails schicken, dass ich nicht bemerkte, dass meine Tickets übertragen wurden. Glücklicherweise saß ich vor meinem Computer und bemerkte sofort, dass sich unter diesen E-Mails zwei E-Mails befanden, die besagten, dass meine Tickets an zwei Personen übertragen würden, die ich nicht kenne, und zwei weitere E-Mails, in denen stand, dass meine Übertragung angenommen wurde.“

Beachten Sie in diesen Bildern, dass die Benachrichtigungs-E-Mail zur Ticketübertragung auf 17:21 Uhr datiert ist, eine Minute nach der Annahme-E-Mail (17:20 Uhr). Die Annahme der Überweisung erfolgte also, bevor die Benachrichtigung über die Überweisung überhaupt Ignacios Gmail-Konto erreichte. Selbst wenn er darüber Bescheid gewusst hätte, hätte er den Transfer nicht verhindern können. Eine einfache 2FA-Verifizierung (per Telefon oder E-Mail) könnte ALLE dieser Fälle unbefugter Übertragungen verhindern. Es erscheint unverantwortlich von Ticketmaster, diese Option nicht anzubieten – die Übertragung von Tickets ohne 2FA sollte eine Opt-in- und keine Opt-out-Möglichkeit sein.

Ignacio sagt, er habe sich sofort an den Kundendienst von Ticketmaster gewandt, um den Vorfall zu melden – sowohl per Anruf als auch per E-Mail. Der Kundenservice von Ticketmaster bat ihn um weitere Informationen, darunter seinen Namen, seine Adresse und die letzten vier Ziffern der Kreditkarte, mit der er die Tickets gekauft hatte. „Sie sagten mir, dass sie innerhalb von drei bis drei Tagen zu mir zurückkommen würden. Trotz der vielen E-Mails, die ich ihnen geschickt habe, habe ich keine Antwort von ihnen erhalten. Ich habe sie auch gebeten, meine Tickets zu sperren, damit sie nicht erneut verkauft werden können“, teilt er mit.

Wieder verkauft. Das ist hier eine wichtige Information. Nach der Übertragung an eine andere Person sind die Tickets wieder auf dem (Wiederverkäufer-)Markt verfügbar. Der Betrüger kann die Tickets zum Nennwert an einen anderen ahnungslosen Käufer weiterverkaufen (während Ticketmaster einen Anteil von seiner Weiterverkaufsplattform erhält) und den Wert des Tickets als Gewinn einstreichen. Ticketmaster könnte dies leicht verhindern, indem es eine Zwei-Faktor-Authentifizierung (entweder per Telefon oder E-Mail) verlangt, um den Ticketübertragungsprozess zu bestätigen.

Digitale Musiknachrichten hat sich an Ticketmaster gewandt und nachgefragt, warum das Unternehmen keine 2FA für Überweisungen anbietet, aber eine vorgefertigte Antwort erhalten. „Insgesamt haben unsere digitalen Ticketing-Innovationen den Betrug im Vergleich zu den Tagen von Papiertickets und duplizierten PDFs erheblich reduziert“, sagte ein Ticketmaster-Sprecher Digitale Musiknachrichten.

„Dank dieser digitalen Historie sind wir auch in der Lage, die Situation zu untersuchen und die Tickets der Fans in fast jedem Fall wiederherzustellen, wobei die meisten innerhalb von 48 Stunden eine Bestätigung erhalten, dass ihre Tickets wiederhergestellt wurden“, fährt der Sprecher fort.

Sichern Ihres Ticketmaster-Kontos

Da Ticketmaster keine 2FA für Ticketübertragungen anbietet, sind Sie jedes Mal, wenn Sie ein Ticket bei Ticketmaster kaufen, diesem Betrug ausgesetzt. Hier erfahren Sie, wie Sie sich schützen können, wenn Sie Tickets im Wert von Tausenden von Dollar von einer Organisation kaufen, die nicht über angemessene Sicherheitsmaßnahmen verfügt, um unbefugte Übertragungen zu verhindern.

Erstellen Sie ein eindeutiges Passwort für das Ticketmaster.com-Konto. Verwenden Sie ein Passwort nie wieder und versuchen Sie, ein Passwort zu wählen, das nicht leicht zu erraten ist. Beispielsweise ist „ilovetaylorswift“ ein schreckliches Passwort für einen Swiftie, um sein Konto zu sichern. Verwenden Sie einen Passwortgenerator, um ein sicheres, noch nie verwendetes Passwort zu erstellen.

Engagierte Hacker erstellen Datenprofile potenzieller Ziele, darunter auch andere geleakte Passwörter. Sie nutzen Credential-Stuffing-Angriffe, um Fälle der Wiederverwendung von Passwörtern zu finden und so einfachen Zugriff auf jedes Konto zu ermöglichen, bei dem ein Passwort wiederverwendet wurde. Durch das Festlegen eines eindeutigen Passworts, das noch nie zuvor verwendet wurde und mit Ihnen verknüpft ist, können Sie dies verhindern. Das für Ihr Ticketmaster-Konto verwendete Passwort sollte niemals mit dem Passwort Ihres persönlichen E-Mail-Kontos identisch sein. Verwenden Sie einen Passwort-Manager, wenn Sie sich nicht an mehrere Passwörter erinnern können.

Wurden Ticketmaster-Tickets von Ihrem Konto abgebucht? Sie können mich unter meiner Digital Music News-E-Mail-Adresse erreichen, um den Diebstahl zu melden.