Eventim setzt Passwörter zurück
von caschy | 25 Kommentare
Vielleicht hat es der eine oder andere mitbekommen: Angreifer haben es auf Eventim-Kunden abgesehen. Zahlreiche Accounts wurden wohl gekapert, Eventim informierte gefährdete Kunden und setzte deren Passwörter proaktiv zurück. Laut des Unternehmens gibt es wohl Passwortlisten im Netz, über die es die Angreifer versucht haben. Da denkt man, zumindest ich, natürlich an Credential Stuffing, eine Art von Cyberangriff, bei dem gestohlene Account-Anmeldeinformationen verwendet werden, um auf Webdienste unerlaubt zuzugreifen. Von einer Lücke bei Eventim selbst hat das Unternehmen bislang nichts verlauten lassen, obwohl es „Medien“ wie Energy.de gibt, die von einer riesigen Sicherheitslücke bei Eventim sprechen.
Auszug aus der Mail an Kunden:
Hallo xxx,
unsere Sicherheitschecks haben ergeben, dass deine Account-Informationen
bei EVENTIM gefährdet sein könnten. Es kursieren Passwortlisten im
Darknet, die deine Daten potenziell enthalten. Damit kein Unberechtigter
Zugriff auf deinen Account erhält, haben wir vorsorglich dein
EVENTIM-Passwort zurückgesetzt.
- JBL Original Pro Sound: Raumfüllender Stereoklang dank des rennstreckenförmigen Treibers der Flip Essential 2, der in einem so kompakten...
- Musik, nonstop: Für Musik, die immer länger und lauter wird, bietet die Flip Essential 2 bis zu 10 Stunden Spielzeit, so dass man sich...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Habe keine Mail bekommen ….. Fühle mich aber sicher, da ich für JEDEN Account ein anderes Passwort habe und keins davon auswendig kenne.
So handhabe ich das ebenfalls. Irgendwann ging es mir auf die Nerven, dass ich ständig etliche Passwörter ändern musste weil mal wieder irgendein Shop gehackt wurde. Jetzt überall generierte Einmalpasswörter und fertig.
Es waren auch Kunden betroffen die laut eigener Aussage ihr Passwort nur bei Eventim verwendet haben. Und sogar eine die, nachdem die ersten Meldungen zu gestohlen Tickets kamen ihr Passwort nochmal geändert hat. Die Ticket sind dann DANACH trotzdem verschwunden. Bin gespannt wie sich das Ganze noch entwickelt. So ganz mag ich an die Passwortliste „aus dem Darknet“ von der Eventim spricht nicht glauben.
Okay. Wenn die zwei fremden Leute im Internet das sagen, muss das ja so stimmen und Eventim hat automatisch Unrecht. /sarkasmus
Hab ich nicht gesagt, oder? Ich zweifle nur ob das alles so stimmt. Man kann aber natürlich auch dem großen Konzern glauben, der um Schadensbegrenzung bemüht ist.
Das Passwort meiner Frau wurde auch zurückgesetzt weil ihr Account laut Eventim potentiell gefährdet war. Und sie hat ihr Passwort definitiv nur dort benutzt und auch sonst nirgendwo eingegeben.
Deine Frau muss nicht zwangsläufig selbst von dem Angriff betroffen sein, damit ihr Passwort zurückgesetzt wird. Mein Passwort ist auch zurückgesetzt worden. Das ist eine reine Vorsichtsmaßnahme.
Meins wurde halt nicht zurückgesetzt. Irgendwelche Kriterien müssen sie ja angelegt haben. Erst dachte ich es liegt an Taylor Swift Tickets im Account, aber eine Freundin hat keine und wurde auch zurückgesetzt. Also entweder haben sie die Liste mit den geleakten Accounts, oder halt irgendwelche unbekannten Kriterien nach denen sie das tun.
Naja. Schlussendlich kann es dir ja gleichgültig sein, nach welchen Kriterien die Passwörter zurückgesetzt worden sind. Hauptsache, man verfolgt hier eine gewisse Vorsicht und setzt lieber mehr Passwörter zurück als zu wenige.
Dito. Aber Eventim könnte sich mal sowas wie ne 2FA einfallen lassen. Könnte das Problem weniger problematisch machen…
Es wurden wohl vorhandene eTickets (Taylor Swift) nach der Accountkaperung über Fansale verkauft. Wäre natürlich nicht passiert wäre, wenn Eventim 2FA/Passkey einsetzen würde. Da das Ticket über Fansale verkauft wurde, welches ebenfalls zu Eventim gehört, bleibt das Ticket bleibt aber weiterhin beim Originalkäufer erhalten und ist dort nur als storniert markiert. Es kann also jederzeit alles rückverfolgt und somit auch wieder der Originalzustand hergestellt werden. Was Eventim nun macht.
Die Betrugsidee war vermutlich, die Fansale-Bezahlung nicht über Fansale, sondern außerhalb abzuwickeln. Dann hätten sie das Geld bekommen, aber das Ticket wäre durch Aktion von Eventim wieder beim Originalkäufer angekommen.
Ach deswegen hab ich die E-Mail bekommen. Trotz einzigartigem E-Mail Adresse/Passwort pro Service. Haben se wohl an alle mit Swift Tickets verschickt.
Das Ding ist, diese Leute nutzen sehr schlechte Passwörter und überall das gleiche – okay.
Nicht okay ist, dass Eventim keine 2FA anbietet, das Thema öffentlich ausspart und ohne E-Mailbestätigung meine Mail-Adresse sowie das Passwort geändert werden kann.
Aber was erwartet man schon von einem Unternehmen, dass für einen 0,85€-Brief 5,90 Euro Versandkosten verlangt.
Das ist der große Irrglaube aller Anwender: mit den 85 Cent ist nur der Transport des Briefes durch die Deutsche Post abgedeckt, die ganzen Kosten beim Versender (Drucken, Verpacken, Briefumschlag, Zeitaufwand) kommen da noch extra drauf. Und dann ist 5,90€ nicht mehr ganz so teuer 😉
Aber zum ersten Teil volle Zustimmung.
Wer sind denn „diese Leute“?
Mein Kennwort ist einzigartig für die Eventim Website, besteht / bestand aus 20 kryptischen Zeichen von KeePass generiert und trotzdem habe ich die Mail erhalten bzw. mein Kennwort wurde zurückgesetzt.
Hier passiert(e) der gleiche Mist wie bei Booking vor einiger Zeit. Datenleck liegt bei Eventim und anstatt das auch als solches zu deklarieren bzw. öffentlich zu machen wird auf irgendwelche Listen im Darknet verwiesen – wo diese nur herkommen.
Bei der MFA / 2FA Thematik bin ich voll und ganz bei Dir.
Es ist schon etwas drüber und gewagt, dass du deine Vermutung und Unterstellung als Fakt formulierst, ohne irgendwelche Hintergründe zu kennen. Mein Passwort ist auch zurückgesetzt worden. Vielleicht greifen bei dir einfach ein paar großzügig und vorsichtige Parameter und du gehörst zu einem Raster. Deshalb muss die Schuld noch lange nicht bei der Plattform liegen, wenn sie Schadensbegrenzung betreibt. Ich finde, mit solchen Äußerungen solltest du vorsichtig sein. Sonst verbreitest du Fake News und das glaubt noch jemand.
Wie wäre es
wenn dieser Verein erst einmal die Gelder für die ausgefallenen Konzerte zurückzahlt?
Schaut eich die Dokus zu Eventim in der Mediathek an. Wenn man die aktuelle Preisentwicklung ansieht, kennt die Gier keine Grenzen! Seit Jahren bekommen, die es noch nicht einmal hin, ihre Server bei Ticketstart nicht abschmieren zu lassen. Jetzt auch noch die Sicherheit. Passt aber zu diesem Laden.
Auf unseren oberen 4-stelligen Betrag pro Jahr darf dieser Verein gerne verzichten. Und wenn wir doch einmal Bock haben, schauen wir uns lieber eine gute Coverband an. Es ist viel günstiger, stressfreier, kann pöbeln, kein Rangeln > alles viel entspannter. Besseres Essen als nur die Brezeln gibt es auch. Eventim never ever!
Wie so oft liegt es wohl nicht (nur) an der Sicherheit des Anbieters, sondern weil die Leute wie blöde auf irgend welche Links bei Instagram und Co. klicken und dort blind ihre Login Daten eingeben.
„Du hast ein Taylor Swift Ticket? Über unsere Sonderaktionsseite hast du jetzt die Chance noch eine zusätzliche Person vergünstigt mitzunehmen…“ und zack, hast du genug blöde die schnell auf einer Eventim ähnlichen Seite sich einloggen und so ihre Zugangsdaten preisgeben. Vielleicht sogar noch die Kreditkarte und sonst was. Sicherlich, mit 2FA könnte man da auch bei Eventim für mehr Sicherheit sorgen, aber wenn die Leute nicht mitdenken, hilft das alles nichts, wie zahlreiche Beispiele zeigen, wo bei Leuten ganze Bankkonten leergeräumt werden, weil die dann einfach blind den PIN eingeben, ohne noch mal zu überlegen, wieso eigentlich grad ein PIN benötigt wird.
Nur ganz kurz für mich,
Wenn ich zum Passwort 2FA hinzufüge ist es doch total egal wie kompliziert das Passwort ist, oder nicht.
Warum bieten das nicht alle an?
Lustig, grade gestern habe ich einen alten, seit Jahren „brachliegenden“ Account bei Eventim zu reaktivieren versucht. Wenn man die Emailadresse ändern will, wird an die zuvor hinterlegte Mail ein Verfifikationsmail geschickt … blöd nur, wenn diese Email gar nicht mehr existiert. Lösung laut Eventim: Neuen Account anlegen – da werd ich schon etwas ärgerlich bei so einem Schwachsinn. Will man den Account löschen geht das laut Eventim in der App, blöd nur, dass das einfach nicht stimmt und die in der Hilfe beschriebenen Menüeinträge de facto nicht existieren. Bleibt also nur ein Webformular, wobei hier unklar ist, welche Emailadresse man nun angeben soll – die aktuelle, oder die nicht mehr existierende, die mit dem zu löschenden Account verknüpft ist? Zudem muss man eine Bestellnummer angeben – blöd nur, wenn die letzte Bestellung so lange her ist, dass sie nicht mehr gelistet ist. Insgesamt einfach ein idiotischer Sauhaufen, sorry für die Ausdrucksweise.
Nix für ungut, aber du prangerst an, dass ich als markus@[bla] nicht in der Lage bin, den mit der Adresse sepp@[blubb] verknüpften Account „mal eben so“ zu mir umzulenken? Ganz ehrlich: wenn der Account so alt ist und die Mailadresse nicht mehr existiert – dann existiert der Account vielleicht sowieso nicht mehr. Ein knapp drei Jahre ungenutzter Ticketmaster-Account (ja, mir ist klar, dass das ein anderes Unternehmen ist) musste von mir bspw. neu angelegt werden, obwohl die Mailadresse weiterhin existiert. Anderes Szenario: Ein anderer Sepp nutzt inzwischen die (vor vielen Jahren von Dir mal genutzte) Adresse sepp@[blubb] und hat ein „frisches“ Eventim Konto – der wäre kaum erfreut, wenn seine XY-Tix plötzlich jemand anderem gehören.
Dass die Anleitungen auf den Hilfeseiten nicht immer (um es mal zurückhaltend auszudrücken ;-)) mit der augenblicklichen Menüführung zu tun haben, ist natürlich eine andere Geschichte 😉
HTH Markus
PS: Du musst schon SEHR, SEHR lange nx mehr bestellt haben – meine älteste Bestellung im Eventim.de-Konto datiert auf den 23. Oktober 2012 (Zweitausendzwölf) 😉
Was, wie? Ich kann mich ja einloggen mit den alten Daten, ich kenne ja meine nicht mehr existierende, alte Emailadresse. Nur was dann? Ich bin in meinem alten Account eingeloggt und kann die dort angeführte Emailadresse nicht aktualisieren, weil eben jene veraltete nicht mehr existiert. Was ist denn das für eine Idiotenlogik?
Hihi, das macht DHL auch so. Die Änderung der Mail-Adresse geht nur mit Verifizierungsmail, natürlich an die alte, nicht mehr existente Mail-Adresse.
Passwort ändern? Kein Problem, DHL verschickt einen Link zum Zurücksetzen an die eingetragene, nicht mehr existente Mail-Adresse.
Wenn jetzt Eventim mein Passwort ändert, wie kann ich mich dann einloggen? Mit einer nicht mehr existenten Mail-Adresse eigentlich nicht möglich. Den Link zum Zurücksetzen bekomme ich ja auch nicht, da ich auf die Mail ja nicht zugreifen kann.
Sicherheit geht anders.
wer Eventim vertraut oder in Schutz nimmt ist eh schon peinlich.
Eventim ist nichts anderes als ein Monopol was Künstler ausbeutet. Sie bestimmen die Preise über die Konzerte da auch ihek mittlerweile viele kleinen Veranstalter gehören.
leider setzen auch viele auf Eventim inhouse. so gibt es keine Alternativen mehr.
ich kann mir gut vorstellen dass die gehackt werden/wurden.
nur Eventim ist es egal. da es keine Alternativen mehr gibt.
nach Passwortänderung sind meine Metallica Tickets bei Eventim-Pass weg, bin nach ner Email an Eventim gespannt ob diese rechtzeitig wieder bei mir sind. Shit
Hast du deine Email an sicherheit@eventim.de gesandt? Was für ein Ticket-Typ ist das genau?