Kassy.ru, eine russische E-Ticketing-Plattform, ist ein weiteres Opfer von Cyberkriminalität in der Unterhaltungsbranche geworden. Es verkauft Tickets für Konzerte, Theater und Sportveranstaltungen in über 100 Städten in ganz Russland und seine Benutzerdatenbank wurde auf dunkle Websites durchgesickert.
Kassy.ruöffentlich bekannt gegebenDer Datenverstoß am 29. Dezember 2025 und der Vorfall gefährden sofort Hunderttausende Benutzer.
Im Mai 2025 ließ Ticket to Cash, eine Plattform für den Weiterverkauf von Tickets, ebenfalls eine große Menge sensibler Daten durchsickern, als der Cyber-Sicherheitsforscher Jeremiah Fowler auf eine ungesicherte Datenbank mit 200 GB Daten und mehr als einer halben Million Datensätzen stieß. Die Vorfälle verdeutlichen die Verwundbarkeit von Ticketing-Plattformen als Ziele für Cyberkriminelle, die Daten stehlen wollen.
Vollständige Datenbank im Kriminalforum veröffentlicht
Der Verstoß gegen Kassy.ru wurde entdeckt, als der Bedrohungsakteur „Demetrius“ die gestohlenen Daten auf DarkForums veröffentlichte, einer berüchtigten Plattform, auf der Hacker kompromittierte Informationen austauschen. Diese Foren fungieren als umfassender Schwarzmarkt und bieten alles von gestohlenen Datenbanken bis hin zu kritischen Systemzugriffen wie dem aktuellenVerkauf der VPN-Zugangsdaten einer türkischen Universität.
„Hallo DarkForums-Community, heute habe ich Kassy Ru Database Breach für Sie zum Herunterladen hochgeladen, vielen Dank fürs Lesen und viel Spaß!“ Demetrius schrieb, er behandelte die persönlichen Daten von 300.000 Menschen als Gelegenheitsunterhaltung.
Die durchgesickerte Datenbank enthält eine beunruhigende Reihe sensibler Daten, darunter vollständige Namen, E-Mail-Adressen, Telefonnummern, Wohnadressen sowie Geburtsinformationen. Durch den Verstoß wurden auch Anmeldedaten und Passwörter offengelegt, wodurch Konten gefährdet wurden, die auf verschiedenen Plattformen dieselben Anmeldeinformationen verwenden.
Der Verstoß geht jedoch über die grundlegenden Kontaktinformationen hinaus. Die gestohlene Datenbank enthält umfangreiche zahlungsbezogene Daten wie Zahlungs-IDs, Zahlungsarten, Buchungsdetails und Transaktionsverläufe. Auch Telegram-IDs und Passinformationsfelder wurden kompromittiert, was zu ernsthaften Datenschutzbedenken führte.
Von Demetrius gepostete Beispielcodeausschnitte zeigen Datenbankstrukturen mit Feldern für den E-Mail-Bestätigungsstatus, Passwortfeldern (sowohl gehashte als auch reine Textreferenzen) und Familieninformationen. Zusätzliche Tabellen umfassen Zahlungsauftragsdetails, Genehmigungscodes, Zahlungsmethoden, Informationen zum Kartenzahlungssystem und Bankdaten.
Auch die Ticket-Weiterverkaufsplattform wurde beeinträchtigt
DerTicket-to-Cash-Verstoßträgt zu den zunehmenden Beweisen bei, dass Ticketing-Dienste unter Belagerung stehen. Die 200 GB große ungeschützte Datenbank enthielt Namen, E-Mail-Adressen, Privatadressen und teilweise Kreditkartendaten. Außerdem befanden sich darin Tausende von Ticketakten, Überweisungsbelege und Quittungen.
Fowler ermittelte den Ursprung als „Ticket to Cash“, basierend auf „internen Ordnerstrukturen“. Er meldete das Problem sofort, erhielt jedoch keine erste Rückmeldung. Das Team sicherte die Datenbank erst nach vier Tagen, als bereits weitere Anmeldeinformationen offengelegt worden waren.
Es ist immer noch ungewiss, ob der Angriff vom Unternehmen selbst oder von einem Partnerunternehmen ausging. Die Offenlegung sensibler personenbezogener Daten und finanzieller Informationen birgt erhebliche Risiken für die Privatsphäre, insbesondere angesichts der zunehmenden Verbreitung von Online-Tickets.
Was für die Opfer auf dem Spiel steht
Für die 300.000 Benutzer von Kassy.ru sind die Risiken erheblich und unmittelbar. Durch den Verstoß werden Benutzernamen und Passwörter offengelegt, sodass Angreifer Credential-Stuffing-Angriffe auf andere Dienste starten können. Da eine Person in mehreren Anwendungen dasselbe Passwort verwendet, stellt Credential Stuffing eine sehr ernste Bedrohung dar.
Dieses Risiko wird durch weit verbreitete Sicherheitslücken in anderen Sektoren verstärkt, wie beispielsweise die jüngste EntdeckungBeliebte Reise-Apps legten sensible Daten für Millionen von Benutzern offen.
Durch den Diebstahl persönlicher Daten können Angreifer sehr gezielte Phishing-Betrügereien durchführen. Sie können sehr legitim aussehende E-Mails oder Nachrichten erstellen, indem sie die persönlichen Informationen verwenden, die in den von ihnen gestohlenen Daten enthalten sind. Sie können beispielsweise als Kassy.ru-Supportmitarbeiter fungieren, ein Problem mit einem Kauftoken angeben und anhand der gestohlenen Daten Beweise für legitime Buchungen vorlegen, um Glaubwürdigkeit zu schaffen.
Angreifer könnten Telegram-ID-Informationen ausnutzen, um über den Telegram-Nachrichtendienst sehr überzeugende Social-Engineering-Angriffe durchzuführen. Darüber hinaus bieten Telefonnummern eine weitere Möglichkeit, Einzelpersonen per Vishing (Voice-Phishing) auszunutzen.
Zahlungsinformationen in den Datenbanken werfen zusätzliche Warnsignale auf. Obwohl unklar ist, ob bei beiden Verstößen die vollständigen Kreditkartennummern offengelegt wurden, könnten Kriminelle möglicherweise die Zahlungsauftragsdaten, Genehmigungscodes und Zahlungssystemdetails verwenden, um Finanzbetrug zu begehen oder Transaktionsmuster zu rekonstruieren.