Spicejet kunne ikke beskytte 1,2 millioner kunders data mod hackere
Sikkerhedsforskere kritiserer ofte PR-holdene for cyberattack-ofre for fejlbehæftelse af hændelsen, og det må siges, at ofte i deres forsøg på at minimere forlegenheden, taler talspersoner sager ting, der enten er upassende eller almindelig forkert. Tag f.eks. SpiceJet.
Med en flåde på over 100 fly er SpiceJet en af de største flyselskaber i Indien, og ganske mange mennesker flyver regelmæssigt med den. I efterspørgslen efter en nylig dataovertrædelse sagde en talsmand for SpiceJet, at "sikkerheden og sikkerheden ved flyers data er sakrosankt", og at flyselskabets ansatte "iværksætter enhver mulig foranstaltning for at beskytte og beskytte disse data." Hvis du ser på, hvordan den faktiske overtrædelse skete, finder du dog få ting, der antyder, at dette er sandt.
Table of Contents
De private oplysninger fra over 1,2 millioner passagerer blev beskyttet af en svag adgangskode
Først rapporteret af TechCrunch torsdag, hændelsen fandt sted i sidste måned. Dengang fik en sikkerhedsforsker adgang til en af flyselskabets servere efter at have gætt på det svage kodeord, der beskyttede det.
Da han først var inde, så hackeren en ukrypteret database, der indeholdt de personlige oplysninger fra over 1,2 millioner mennesker, der havde fløjet med SpiceJet i de foregående fire uger. Detaljerne indeholdt navne, telefonnumre, e-mail-adresser og fødselsdato. Selvom SpiceJet betragtes som en budgetbærer, indeholdt databasen også personlige data fra statens embedsmænd, og forskeren fortalte TechCrunch, at det var "let tilgængeligt for alle, der vidste, hvor de skulle se."
SpiceJet reagerede ikke på underretningen om dataovertrædelse
Påstandene om, at luftfartsselskabet træffer "enhver mulig" foranstaltning for at sikre, at flyers databeskyttelse for data begynder at falde fra hinanden, men der er også andre problemer. Efter at have opdaget det svage kodeord og den ikke-krypterede database, forsøgte sikkerhedsforskeren straks at kontakte SpiceJet og fortælle dem, hvad der foregik. Hackeren modtog imidlertid "intet meningsfuldt svar".
Da forskeren så, at dette ikke gik nogen steder, delte de derefter deres fund med Indiens Computer Emergency Response Team (CERT-IN). Agenturet bekræftede problemet og lægger pres på SpiceJet for at løse det. Endelig blev databasen hentet offline.
På trods af dette har SpiceJet ikke officielt bekræftet overtrædelsen og har endnu ikke offentliggjort nogen form for information om hændelsen - en opførsel, som du er nødt til at være enig i, er ikke helt i overensstemmelse med, hvad flyselskabets talspersoner fortalte medierne.
En etisk hacker eller en kriminel?
Serveren, der var vært for den eksponerede database, var ikke helt eksponeret. Det var beskyttet af en svag adgangskode, og selvom du muligvis hævder, at dette er så godt som at lade det stå åben, var det faktum, at sikkerhedsforskeren endda prøvede at gætte loginoplysningerne, der kunne lande dem i problemer.
I mange lande, hvis du går på kompromis med et system, der ikke hører til dig, kan du straffes ved lov, uanset dine intentioner. Derfor, selvom de hævder, at de brute-tvunget deres vej ind i SpiceJet's system for at hjælpe flyselskabet med at sikre sine kunders data korrekt, foretrak forskeren at forblive anonym og undgå domstolen. Det er op til dig at beslutte, om lovene er perfekte i dette særlige aspekt, og mens du er ved det, vil du måske overveje en ting mere.
Loven er ikke så streng i andre tilfælde. Hvis du for eksempel undlader at beskytte personoplysningerne fra mere end 1 million mennesker korrekt, kan du komme med en kedelplade "vi tager sikkerhed meget alvorligt" og endda nægter at indrømme dine fejl. I mange dele af verden vil du ikke være i modstrid med nogen love. Du vil være dommer for, om dette er særlig fair.
