Spicejet no pudo proteger 1.2 millones de datos de clientes de hackers

SpiceJet Data Breach

Los investigadores de seguridad a menudo critican a los equipos de relaciones públicas de las víctimas de ataques cibernéticos por manejar mal el incidente, y se debe decir que con frecuencia, en sus intentos por minimizar la vergüenza, los portavoces tienden a decir cosas que son inapropiadas o simplemente incorrectas. Tome SpiceJet, por ejemplo.

Con una flota de más de 100 aviones, SpiceJet es una de las aerolíneas más grandes de la India, y muchas personas vuelan con regularidad. A raíz de una reciente violación de datos, un portavoz de SpiceJet dijo que "la seguridad de los datos de los volantes es sacrosanta" y que los empleados de la aerolínea "toman todas las medidas posibles para salvaguardar y proteger estos datos". Sin embargo, si observa cómo sucedió la violación real, encontrará algunas cosas que sugieren que esto es cierto.

La información privada de más de 1.2 millones de pasajeros estaba protegida por una contraseña débil

Reportado por primera vez por TechCrunch el jueves, el incidente tuvo lugar el mes pasado. En aquel entonces, un investigador de seguridad obtuvo acceso a uno de los servidores de la aerolínea después de adivinar la contraseña débil que la estaba protegiendo.

Una vez dentro, el pirata informático vio una base de datos sin cifrar que contenía la información personal de más de 1.2 millones de personas que habían volado con SpiceJet durante las cuatro semanas anteriores. Los detalles incluyen nombres, números de teléfono, direcciones de correo electrónico y fechas de nacimiento. Aunque SpiceJet se considera un proveedor de presupuesto, la base de datos también contenía los datos personales de los funcionarios estatales, y el investigador le dijo a TechCrunch que era "fácilmente accesible para cualquiera que supiera dónde buscar".

SpiceJet no reaccionó a la notificación de violación de datos

Las afirmaciones de que la aerolínea toma "todas las medidas posibles" para garantizar que la privacidad de los datos de los volantes empiecen a desmoronarse, pero también hay otros problemas. Después de descubrir la contraseña débil y la base de datos sin cifrar, el investigador de seguridad inmediatamente trató de contactar a SpiceJet y hacerles saber lo que estaba sucediendo. Sin embargo, el hacker recibió "ninguna respuesta significativa".

Al ver que esto no iba a ninguna parte, el investigador luego compartió sus hallazgos con el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-IN). La agencia confirmó el problema y presionó a SpiceJet para que lo solucione. Finalmente, la base de datos se desconectó.

A pesar de esto, SpiceJet no ha confirmado oficialmente la violación y aún no ha compartido públicamente ningún tipo de información sobre el incidente, un comportamiento que, debe aceptar, no está completamente en línea con lo que los portavoces de la aerolínea le dijeron a los medios.

¿Un hacker ético o un criminal?

El servidor que alojaba la base de datos expuesta no estaba completamente expuesto. Estaba protegido por una contraseña débil, y aunque podría argumentar que esto es tan bueno como dejarlo abierto, el hecho de que el investigador de seguridad incluso haya intentado adivinar las credenciales de inicio de sesión podría ocasionarles problemas.

En muchos países, si comprometes un sistema que no te pertenece, eres castigado por la ley, independientemente de tus intenciones. Es por eso que, aunque afirman que forzaron su acceso al sistema de SpiceJet para ayudar a la aerolínea a proteger los datos de sus clientes correctamente, el investigador prefirió permanecer en el anonimato y evitar el tribunal. Depende de usted decidir si las leyes son perfectas en este aspecto en particular, y mientras lo hace, es posible que desee considerar una cosa más.

La ley no es tan estricta en otros casos. Si, por ejemplo, no protege adecuadamente los datos personales de más de 1 millón de personas, puede llegar a una declaración repetitiva "nos tomamos muy en serio la seguridad" e incluso rehusarse a admitir sus errores. En muchas partes del mundo, no contradecirá ninguna ley. Serás el juez sobre si esto es particularmente justo.

January 31, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.