La plataforma de reventa de entradas TicketToCash expuso 200 GB de datos de usuarios

Una base de datos mal configurada y sin protección con contraseña perteneciente a TicketToCash expuso datos de 520.000 clientes, incluidos datos de identificación personal (PII) y detalles financieros parciales.

El investigador de ciberseguridad Jeremiah Fowler descubrió recientemente una base de datos mal configurada de 200 GB, de acceso abierto, que contenía más de 520.000 registros. Esta base de datos expuesta pertenecía a clientes de TicketToCash, una plataforma de reventa de entradas para eventos.

Según el informe de Fowler, compartido con Hackread.com, no se trata sólo de nombres y direcciones de correo electrónico; la exposición de datos incluye números parciales de tarjetas de crédito y direcciones físicas vinculadas a entradas de conciertos y eventos.

Además, los datos expuestos incluían copias de boletos y documentos que contenían información de identificación personal (PII), como nombres, direcciones de correo electrónico, direcciones particulares y números de tarjetas de crédito.

El nombre de la base de datos sugería que contenía archivos de clientes en varios formatos digitales como PDF, JPG, PNG, y JSON . Al examinar algunos de estos archivos, Fowler vio numerosas entradas para conciertos y otros eventos en vivo, comprobantes de transferencias de entradas entre personas y capturas de pantalla de los recibos de pago que los usuarios habían enviado. Algunos de estos documentos mostraban números parciales de tarjetas de crédito, nombres completos, direcciones de correo electrónico y domicilios particulares.

Pistas internas dentro de los archivos y carpetas indicaban que los datos pertenecían a TicketToCash, una plataforma en línea donde se pueden vender entradas para conciertos, eventos deportivos y obras de teatro. La empresa afirma que publica entradas en una red de más de 1000 sitios web.

Lo que resulta particularmente preocupante es la aparente falta de respuesta inicial de TicketToCash tras la notificación. Segúnla investigación de Fowler, «Envié inmediatamente una notificación responsable a TicketToCash.com , pero no recibí respuesta y la base de datos permaneció abierta».

La base de datos permaneció accesible públicamente hasta que se envió una segunda notificación, tras lo cual la compañía la protegió, pero los archivos permanecieron expuestos durante los cuatro días entre el primer y el segundo intento de Fowler.

Fowler advierte que si esta información llega a manos indebidas, podría utilizarse con fines fraudulentos como phishing, robo de identidad o la creación y reventa de entradas falsas. Fowler destacó que «la información personal identificable (PII) y los datos financieros pueden ser válidos durante años», lo que significa que las consecuencias de esta filtración podrían ser duraderas. Por eso, la filtración de datos de Ticketmaster recibió una amplia cobertura mediática.

También hizo referencia a un informe de 2023 que indica que un porcentaje significativo de personas (11%) que compran entradas en mercados secundarios han sido estafadas, y señaló un drástico aumento del 529% en las estafas de entradas en el Reino Unido, "que cuestan a las víctimas un promedio de £110 ($145 USD)".

No está claro si TickettoCash poseía y administraba directamente esta base de datos o si estaba manejada por un contratista externo, cuánto tiempo estuvo expuesta antes de que Fowler la encontrara y si alguien más pudo haber accedido a la información durante ese tiempo.

Sin embargo, los hallazgos de Fowler resaltan la responsabilidad crucial de las plataformas que manejan datos confidenciales de los usuarios, especialmente en mercados de alto valor como el de las entradas para eventos. Los usuarios de TicketToCash deben ser cautelosos ante los intentos de phishing, supervisar sus cuentas financieras, actualizar sus contraseñas y adoptar la autenticación multifactor.