Skip to content
Cyber Breaches
Recherche
misconfigurationRésolu

Violation de données et extorsion de Ticketcounter

Une plateforme néerlandaise de billetterie en ligne a laissé une sauvegarde de base de données exposée sur un serveur Azure non sécurisé ; un attaquant a téléchargé les données de 1,9 million de personnes et exigé 7 bitcoins (~337 000 $) pour ne pas les divulguer.

Victime
Ticketcounter
données
1.9M
utilisateurs
1.9M
SecteurTechnologieentertainment
PaysPays-Bas
Attaquants nommésMaître chanteur non identifié

Début 2021, la plateforme néerlandaise de billetterie en ligne Ticketcounter — qui vend des billets d'entrée pour des zoos, musées, parcs d'attractions et autres sites partout aux Pays-Bas — a révélé une violation de données touchant 1,9 million de personnes, suivie d'une demande d'extorsion. La cause profonde n'était pas une intrusion sophistiquée mais un serveur cloud mal configuré ayant laissé une sauvegarde complète de base de données exposée sur Internet.

Ce qui s'est passé

En août 2020, Ticketcounter a copié une base de données de production sur un serveur Microsoft Azure afin de tester un processus d'anonymisation remplaçant les données personnelles réelles par des valeurs fictives. Comme l'a expliqué plus tard le PDG Sjoerd Bakker, après la copie de la base de données, celle-ci n'a pas été correctement sécurisée, rendant la sauvegarde accessible à quiconque la trouvait.

En février 2021, un attaquant a localisé la sauvegarde exposée et a téléchargé l'intégralité du jeu de données. Le 22 février 2021, l'attaquant a contacté directement Ticketcounter et a exigé 7 bitcoins — soit environ 337 000 $ à l'époque — pour ne pas divulguer publiquement les données. Ticketcounter n'a pas payé, et les données ont ensuite été mises en vente sur un forum de piratage.

Impact

  • La violation a exposé 1,9 million d'adresses e-mail uniques. Pour les personnes concernées, les fiches comprenaient également des noms, adresses postales, adresses IP, genres, dates de naissance, historiques de paiement et, dans certains cas, des numéros de compte bancaire.
  • La combinaison de données d'identité et financières créait un risque accru de hameçonnage, de fraude et de prise de contrôle de comptes pour les clients touchés.
  • Le jeu de données a été intégré à Have I Been Pwned, permettant aux utilisateurs concernés de vérifier leur exposition.
  • Bien que Ticketcounter ait refusé la rançon, la circulation publique des données signifiait que le préjudice pour les clients était de fait déjà causé.

Pourquoi c'est important

La violation de Ticketcounter illustre clairement comment une mauvaise configuration du cloud — et non un savoir-faire avancé d'attaquant — est à l'origine d'une grande part des fuites de données modernes. Une tâche d'ingénierie de routine (tester un pipeline d'anonymisation) sur une instance Azure non sécurisée a suffi à compromettre près de deux millions de personnes. Elle a renforcé plusieurs leçons durables : les données de production ne devraient jamais être copiées dans des environnements de test sans contrôles d'accès stricts ; le stockage cloud doit être privé par défaut et audité en continu ; et payer une demande d'extorsion n'offre aucune garantie une fois les données déjà exfiltrées. Pour une plateforme de taille moyenne traitant des données sensibles proches du paiement, l'incident a également mis en évidence l'exposition réglementaire et réputationnelle disproportionnée que le RGPD fait peser même sur les fuites involontaires.

Impact financier

Coûts déclarés en USD

Rançon demandée
$337.0K
Rançon payée
Refusée

    Chronologie

    1. Ticketcounter copie une base de données de production sur un serveur Microsoft Azure pour tester un processus d'anonymisation, mais ne la sécurise pas.

    2. Un attaquant découvre la sauvegarde exposée et télécharge l'intégralité de la base de données de 1,9 million de fiches uniques.

    3. L'attaquant contacte Ticketcounter et exige 7 bitcoins (~337 000 $) pour empêcher la divulgation publique des données.

    4. Ticketcounter confirme publiquement la violation après que les données ont été mises en vente sur un forum de piratage.

    5. Les 1,9 million d'adresses e-mail et les données personnelles associées circulent sur les forums de fuite ; Have I Been Pwned intègre le jeu de données.

    Sources

    1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/european-e-ticketing-platform-ticketcounter-extorted-in-data-breach/
    2. haveibeenpwned.comhttps://haveibeenpwned.com/Breach/Ticketcounter
    3. bankinfosecurity.euhttps://www.bankinfosecurity.eu/ticketcounter-data-stolen-from-unsecured-server-a-16101
    4. seclists.orghttps://seclists.org/dataloss/2021/q1/143

    Incidents liés

    misconfigurationRésolu

    Violation de données RedDoorz

    Une base de données cloud mal configurée a exposé les dossiers d'environ 5,9 millions de clients de la plateforme de réservation hôtelière RedDoorz, ce qui en fait la plus grande violation de données de Singapour à l'époque et a valu une amende emblématique du PDPC à l'exploitant Commeasure.

    Victim
    RedDoorz (Commeasure Pte Ltd)
    Loss
    $54.5K
    Records
    5.9M
    Faille zero-dayRésolu

    Log4Shell (Apache Log4j CVE-2021-44228)

    Une faille d'exécution de code à distance trivialement exploitable dans Apache Log4j 2, l'omniprésente bibliothèque de journalisation Java, a obtenu le score maximal CVSS 10.0 et exposé des centaines de millions d'appareils et d'applications dans le monde à une prise de contrôle instantanée via une simple chaîne de journalisation forgée.

    Victim
    Mondial (utilisateurs d'Apache Log4j dans le monde entier)
    Fuite de donnéesRésolu

    Fuite de données Robinhood (2021)

    En novembre 2021, la plateforme de trading en ligne Robinhood a subi une fuite de données après qu'un agent du service client a été victime d'ingénierie sociale. L'incident a exposé plus de 5 millions d'adresses e-mail de clients et 2 millions de noms de clients.

    Victim
    Robinhood
    Records
    5.0M