Spicejet n'a pas réussi à protéger 1,2 million de données des clients contre les pirates
Les chercheurs en sécurité critiquent souvent les équipes de relations publiques des victimes de cyberattaques pour avoir mal géré l'incident, et il faut dire que fréquemment, dans leurs tentatives pour minimiser l'embarras, les porte-parole ont tendance à dire des choses qui sont soit inappropriées, soit carrément erronées. Prenez SpiceJet, par exemple.
Avec une flotte de plus de 100 avions, SpiceJet est l'une des plus grandes compagnies aériennes en Inde, et pas mal de personnes voyagent régulièrement avec elle. Au lendemain d'une récente violation de données, un porte-parole de SpiceJet a déclaré que la "sécurité et la sûreté des données des dépliants est sacro-sainte" et que les employés de la compagnie aérienne "prennent toutes les mesures possibles pour sauvegarder et protéger ces données". Cependant, si vous regardez comment la violation s'est produite, vous trouverez peu de choses suggérant que cela est vrai.
Table of Contents
Les informations privées de plus de 1,2 million de passagers étaient protégées par un mot de passe faible
D'abord signalé par TechCrunch jeudi, l'incident a eu lieu le mois dernier. À l'époque, un chercheur en sécurité a eu accès à l'un des serveurs de la compagnie aérienne après avoir deviné le mot de passe faible qui le protégeait.
Une fois à l'intérieur, le pirate a vu une base de données non cryptée qui contenait les informations personnelles de plus de 1,2 million de personnes qui avaient volé avec SpiceJet au cours des quatre semaines précédentes. Les détails comprenaient les noms, numéros de téléphone, adresses e-mail et dates de naissance. Bien que SpiceJet soit considéré comme un transporteur budgétaire, la base de données contenait également les données personnelles des fonctionnaires de l'État, et le chercheur a déclaré à TechCrunch qu'elles étaient "facilement accessibles pour tous ceux qui savaient où chercher".
SpiceJet n'a pas réagi à la notification de violation de données
Les affirmations selon lesquelles la compagnie aérienne prend "toutes les mesures possibles" pour garantir la confidentialité des données des voyageurs commencent à s'effondrer, mais il y a aussi d'autres problèmes. Après avoir découvert le mot de passe faible et la base de données non chiffrée, le chercheur en sécurité a immédiatement essayé de contacter SpiceJet et de leur faire savoir ce qui se passait. Le pirate n'a toutefois reçu "aucune réponse significative".
Voyant que cela n'allait nulle part, le chercheur a ensuite partagé ses conclusions avec l'équipe de réponse aux urgences informatiques de l'Inde (CERT-IN). L'agence a confirmé le problème et fait pression sur SpiceJet pour le résoudre. Enfin, la base de données a été mise hors ligne.
Malgré cela, SpiceJet n'a pas officiellement confirmé la violation et n'a pas encore divulgué publiquement aucune information sur l'incident - un comportement qui, vous devez en convenir, n'est pas complètement conforme à ce que les porte-parole de la compagnie aérienne ont déclaré aux médias.
Un hacker éthique ou un criminel?
Le serveur qui hébergeait la base de données exposée n'était pas complètement exposé. Il était protégé par un mot de passe faible, et bien que vous puissiez dire que cela revient à le laisser grand ouvert, le fait que le chercheur en sécurité ait même essayé de deviner les informations de connexion pourrait leur causer des problèmes.
Dans de nombreux pays, si vous compromettez un système qui ne vous appartient pas, vous êtes puni par la loi, quelles que soient vos intentions. C'est pourquoi, bien qu'ils prétendent avoir pénétré de force dans le système de SpiceJet pour aider la compagnie aérienne à sécuriser correctement les données de ses clients, le chercheur a préféré rester anonyme et éviter la cour. C'est à vous de décider si les lois sont parfaites dans cet aspect particulier, et pendant que vous y êtes, vous voudrez peut-être considérer une chose de plus.
La loi n'est pas aussi stricte dans d'autres cas. Si, par exemple, vous ne parvenez pas à protéger correctement les données personnelles de plus d'un million de personnes, vous pouvez rédiger un énoncé «nous prenons la sécurité très au sérieux» et même refuser d'admettre vos erreurs. Dans de nombreuses régions du monde, vous ne contredirez aucune loi. Vous serez le juge si c'est particulièrement juste.