La ICO multa a Ticketmaster UK con 1,39 millones de euros bajo el RGPD, por no impedir un ciberataque a su chatbot.
La ICO ha multado a Ticketmaster UK en relación a una brecha de seguridad que potencialmente habría afectado a nueve millones de consumidores a lo largo de toda Europa. El ataque se instrumentó por medio del chatbot que la empresa utilizaba en su página de pago. La falta de protección de los datos de sus clientes supone una infracción del RGPD por parte de la compañía.
En febrero de 2018, varios clientes de Monzo informaron de una serie de transacciones fraudulentas. También se recibieron quejas similares de Barclaycard, MasterCard y American Express. Nueve semanas después de dichas alteras, Ticketmaster comenzó a monitorizar el tráfico de red en su página de pago. Así, la brecha comenzó en febrero de 2018, pero la multa se vincula con el período que comienza el 25 de mayo de 2018, tras la implementación de las nuevas normas bajo el RGPD.
Esta brecha de seguridad afectó potencialmente a millones de consumidores que vieron comprometida su información de pago.
La brecha incluía nombres, números de tarjeta, fechas de expiración y números de CVV y habría potencialmente afectado a 9,4 millones de clientes de Ticketmaster en toda Europa, 1,5 millones de los cuales serían de Reino Unido. Las investigaciones destaparon que, como resultados de la brecha, unas 60.000 tarjetas de crédito de clientes de Barclays se sometieron a fraude. Otras 6.000 tarjetas fueron reemplazadas por Monzo debido a sospecha de uso fraudulento.
La ICO descubrió que no se implementaron las medidas de seguridad necesarias para proteger los datos de los consumidores.
La investigación de la ICO reveló que la decisión de Ticketmaster de incluir un chatbot, ofrecido por un tercero, en su página de pago permitió que el atacante accediese a los detalles financieros de sus consumidores. El Vicepresidente de la ICO, James Dipple-Johnstone, afirmó que “Ticketmaster debería haber hecho más para reducir el riesgo de un ciberataque. No hacerlo ha conducido a que millones de personas en Reino Unido y en toda Europa hayan sido expuestas a un posible fraude”. La ICO concluyó que Ticketmaster no valoró los riesgos de utilizar un chatbot en su página de pago y en consecuencia no seleccionó ni implementó a tiempo las medidas adecuadas para evitarlos e identificar la fuente de la actividad fraudulenta. La ICO envió a Ticketmaster UK una notificación de multa el 7 de febrero de 2020.
La multa de la ICO a Ticketmaster se impone de parte de todas las autoridades de control europeas y toma en consideración el impacto de la pandemia del COVID-19.
Puesto que la brecha ocurrió antes de que Reino Unido saliese de la Unión Europea, la ICO ha actuado como la autoridad de control principal. La ICO complete el proceso recogido en el Artículo 60 del RGPD antes de proceder con la sanción. Este artículo establece que la autoridad de control principal deberá coordinar con otras autoridades de control interesadas en un esfuerzo de alcanzar un consenso. El proceso incluía entregar un borrador de la decisión al resto de autoridades de control para recoger su opinión y tomar sus comentarios en consideración. En la imposición de la multa la ICO no sólo ha tenido en cuenta la asequibilidad de la misma, sino también el impacto económico del COVID-19, entre otros factores.
La información ofrecida por la ICO a este respecto está disponible en su página web.
