Το Spicejet απέτυχε να προστατεύσει τα δεδομένα των 1.2 εκατομμυρίων πελατών από τους χάκερς
Οι ερευνητές στον τομέα της ασφάλειας συχνά επικρίνουν τις ομάδες PR των θυμάτων cyberattack για την κακή διαχείριση του περιστατικού και πρέπει να ειπωθεί ότι συχνά, στις προσπάθειές τους να ελαχιστοποιούν την αμηχανία, οι εκπρόσωποι τείνουν να λένε πράγματα που είναι είτε ακατάλληλα είτε απλά λανθασμένα. Πάρτε το SpiceJet, για παράδειγμα.
Με ένα στόλο πάνω από 100 αεροσκάφη, το SpiceJet είναι μία από τις μεγαλύτερες αεροπορικές εταιρείες στην Ινδία, και αρκετοί άνθρωποι πετούν με αυτό τακτικά. Μετά από πρόσφατη παραβίαση δεδομένων, ένας εκπρόσωπος της SpiceJet δήλωσε ότι τα δεδομένα σχετικά με την ασφάλεια και την ασφάλεια των πτηνών είναι απαράδεκτα και ότι οι υπάλληλοι της αεροπορικής εταιρείας «αναλαμβάνουν κάθε δυνατή προσπάθεια για να προστατεύσουν και να προστατεύσουν αυτά τα δεδομένα». Αν έχετε δει όμως πώς συνέβη η πραγματική παραβίαση, θα βρείτε λίγα πράγματα για να υποδείξετε ότι αυτό είναι αλήθεια.
Table of Contents
Οι ιδιωτικές πληροφορίες που αφορούν πάνω από 1,2 εκατομμύρια επιβάτες προστατεύονται από έναν αδύναμο κωδικό πρόσβασης
Πρώτα ανέφερε η TechCrunch την Πέμπτη, το περιστατικό έγινε τον περασμένο μήνα. Την εποχή εκείνη, ένας ερευνητής ασφάλειας αποκτούσε πρόσβαση σε έναν από τους διακομιστές της αεροπορικής εταιρείας, αφού μαντέψει τον αδύναμο κωδικό πρόσβασης που την προστατεύει.
Μόλις εισέλθει, ο χάκερ είδε μια μη κρυπτογραφημένη βάση δεδομένων που περιείχε τις προσωπικές πληροφορίες περισσότερων από 1,2 εκατομμυρίων ανθρώπων που είχαν πετάξει με το SpiceJet κατά τη διάρκεια των τελευταίων τεσσάρων εβδομάδων. Οι λεπτομέρειες περιελάμβαναν ονόματα, αριθμούς τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και ημερομηνίες γέννησης. Παρόλο που η SpiceJet θεωρείται αερομεταφορέας προϋπολογισμού, η βάση δεδομένων διέθετε και τα προσωπικά δεδομένα των κρατικών αξιωματούχων και ο ερευνητής είπε στην TechCrunch ότι ήταν "εύκολα προσβάσιμη για όποιον ήξερε πού να κοιτάξει".
Η SpiceJet δεν αντέδρασε στην κοινοποίηση παραβίασης δεδομένων
Οι ισχυρισμοί ότι η αεροπορική εταιρεία λαμβάνει "όλα τα δυνατά μέτρα" για να διασφαλίσει ότι το απόρρητο των δεδομένων των πτηνών αρχίζει να υποχωρεί, αλλά υπάρχουν και άλλα θέματα. Αφού ανακάλυψε τον αδύναμο κωδικό πρόσβασης και τη μη κρυπτογραφημένη βάση δεδομένων, ο ερευνητής ασφαλείας προσπάθησε αμέσως να επικοινωνήσει με την SpiceJet και να τους ενημερώσει για το τι συνέβαινε. Ο χάκερ έλαβε όμως "καμία ουσιαστική απάντηση".
Βλέποντας ότι αυτό δεν πηγαίνει πουθενά, ο ερευνητής μοιράστηκε τα ευρήματά τους με την Ομάδα Υποστήριξης Έκτακτης Ανάγκης (CERT-IN) της Ινδίας. Ο οργανισμός επιβεβαίωσε το ζήτημα και έβαλε πίεση στο SpiceJet για να το διορθώσει. Τέλος, η βάση δεδομένων λήφθηκε εκτός σύνδεσης.
Παρόλα αυτά, η SpiceJet δεν έχει επιβεβαιώσει επίσημα την παραβίαση και δεν έχει ακόμη κοινοποιήσει δημόσια οποιαδήποτε πληροφορία σχετικά με το περιστατικό - μια συμπεριφορά που, πρέπει να συμφωνήσετε, δεν είναι πλήρως σύμφωνη με τα όσα είπαν οι εκπρόσωποι της αεροπορικής εταιρείας στα ΜΜΕ.
Ένας ηθικός χάκερ ή ένας εγκληματίας;
Ο διακομιστής που φιλοξένησε την εκτεθειμένη βάση δεδομένων δεν ήταν πλήρως εκτεθειμένος. Προστατεύτηκε από έναν αδύναμο κωδικό πρόσβασης και παρόλο που μπορεί να υποστηρίξετε ότι αυτό είναι τόσο καλό όσο το αφήνετε ανοιχτό, το γεγονός ότι ο ερευνητής ασφαλείας προσπάθησε να μαντέψει τα διαπιστευτήρια σύνδεσης θα μπορούσε να τους οδηγήσει σε πρόβλημα.
Σε πολλές χώρες, εάν συμβιβαστείτε με ένα σύστημα που δεν ανήκει σε εσάς, τιμωρείτε με νόμο, ανεξάρτητα από τις προθέσεις σας. Αυτός είναι ο λόγος για τον οποίο, παρόλο που ισχυρίζονται ότι βίαιοι - αναγκάστηκαν να εισέλθουν στο σύστημα της SpiceJet για να βοηθήσουν την αεροπορική εταιρεία να εξασφαλίσει σωστά τα δεδομένα των πελατών της, ο ερευνητής προτιμούσε να παραμείνει ανώνυμος και να αποφύγει τον πάγκο του δικαστηρίου. Εναπόκειται σε εσάς να αποφασίσετε αν οι νόμοι είναι τέλειοι σε αυτή τη συγκεκριμένη πτυχή και ενώ είστε σε αυτό, ίσως θελήσετε να εξετάσετε ένα ακόμα πράγμα.
Ο νόμος δεν είναι τόσο αυστηρός σε άλλες περιπτώσεις. Εάν, για παράδειγμα, αποτύχετε να προστατεύσετε σωστά τα προσωπικά δεδομένα περισσότερων από 1 εκατομμυρίων ανθρώπων, μπορείτε να καταλήξετε σε μια λέξη "παίρνουμε την ασφάλεια πολύ σοβαρά" δήλωση και ακόμη και να αρνηθείτε να παραδεχτείτε τα λάθη σας. Σε πολλά μέρη του κόσμου, δεν θα αντιταχθεί κανένας νόμος. Θα είστε ο δικαστής εάν αυτό είναι ιδιαίτερα δίκαιο.
