售票网站Ticketmaster的第三方通讯程式被骇，用户个资、支付资讯外泄

全球最大售票网站之一 Ticketmaster周三承认，受合作厂商提供的客户支援聊天软件被骇影响，导致曾在该公司在英国及海外网站上售票的客户支付资讯外泄。

Ticketmaster本月23日在由西班牙厂商Inbenta Technologies代管的客户支援聊天软件上发现恶意程式。一段由Inbenta专为Ticketmaster客制的JavaScript程式码遭骇客变造，而将Ticketmaster客户个资，包括姓名、地址、信箱、电话号码、登入账密及支付资讯传送给外部不知名人士。该公司发现后已经立即关闭Ticketmaster全球所有网站上的Inbenta软件，防止灾害扩大。

这次骇入事件影响使用Inbenta聊天软件的Ticketmaster网站包括Ticketmaster International、Ticketmaster UK、GETMEIN!和TicketWeb等购票的客户，包括2017年9月到今年6月23日在英国境内购票（或欲购票）的民众，以及2018年2月到2018年6月23日之间在Ticketmaster海外网站上购票（或欲购票）的国际消费者。Ticketmaster估计占其所有客户的5%。而北美客户不受影响。BBC报导，受害者可能至少在40,000人以上。

Ticketmaster除了发函通知受影响的消费者，也提供他们12个月免费的身份监控追踪服务。

Inbenta声称责任并非全在他们身上。他们认为，Ticketmaster是在未通知他们情况下，将这段程式码直接用在其支付网页上，这不是该公司开发的原意，“如果我们知道客户如此使用这段客制化程式码，我们就会建议他不要这么做。”。结果这段程式码被骇客发现、修改，再用来搜集Ticketmaster客户的支付资讯。

本次攻击可能会为两家公司带来极大后果。5月底上路的欧洲个资法GDPR将针对未做好用户个资保护的企业处以最高4%的公司营收或2000万欧元（约台币7.2亿元）的罚金。