Spicejet n'a pas réussi à protéger 1,2 million de données des clients contre les pirates

SpiceJet Data Breach

Les chercheurs en sécurité critiquent souvent les équipes de relations publiques des victimes de cyberattaques pour avoir mal géré l'incident, et il faut dire que fréquemment, dans leurs tentatives pour minimiser l'embarras, les porte-parole ont tendance à dire des choses qui sont soit inappropriées, soit carrément erronées. Prenez SpiceJet, par exemple.

Avec une flotte de plus de 100 avions, SpiceJet est l'une des plus grandes compagnies aériennes en Inde, et pas mal de personnes voyagent régulièrement avec elle. Au lendemain d'une récente violation de données, un porte-parole de SpiceJet a déclaré que la "sécurité et la sûreté des données des dépliants est sacro-sainte" et que les employés de la compagnie aérienne "prennent toutes les mesures possibles pour sauvegarder et protéger ces données". Cependant, si vous regardez comment la violation s'est produite, vous trouverez peu de choses suggérant que cela est vrai.

Les informations privées de plus de 1,2 million de passagers étaient protégées par un mot de passe faible

D'abord signalé par TechCrunch jeudi, l'incident a eu lieu le mois dernier. À l'époque, un chercheur en sécurité a eu accès à l'un des serveurs de la compagnie aérienne après avoir deviné le mot de passe faible qui le protégeait.

Une fois à l'intérieur, le pirate a vu une base de données non cryptée qui contenait les informations personnelles de plus de 1,2 million de personnes qui avaient volé avec SpiceJet au cours des quatre semaines précédentes. Les détails comprenaient les noms, numéros de téléphone, adresses e-mail et dates de naissance. Bien que SpiceJet soit considéré comme un transporteur budgétaire, la base de données contenait également les données personnelles des fonctionnaires de l'État, et le chercheur a déclaré à TechCrunch qu'elles étaient "facilement accessibles pour tous ceux qui savaient où chercher".

SpiceJet n'a pas réagi à la notification de violation de données

Les affirmations selon lesquelles la compagnie aérienne prend "toutes les mesures possibles" pour garantir la confidentialité des données des voyageurs commencent à s'effondrer, mais il y a aussi d'autres problèmes. Après avoir découvert le mot de passe faible et la base de données non chiffrée, le chercheur en sécurité a immédiatement essayé de contacter SpiceJet et de leur faire savoir ce qui se passait. Le pirate n'a toutefois reçu "aucune réponse significative".

Voyant que cela n'allait nulle part, le chercheur a ensuite partagé ses conclusions avec l'équipe de réponse aux urgences informatiques de l'Inde (CERT-IN). L'agence a confirmé le problème et fait pression sur SpiceJet pour le résoudre. Enfin, la base de données a été mise hors ligne.

Malgré cela, SpiceJet n'a pas officiellement confirmé la violation et n'a pas encore divulgué publiquement aucune information sur l'incident - un comportement qui, vous devez en convenir, n'est pas complètement conforme à ce que les porte-parole de la compagnie aérienne ont déclaré aux médias.

Un hacker éthique ou un criminel?

Le serveur qui hébergeait la base de données exposée n'était pas complètement exposé. Il était protégé par un mot de passe faible, et bien que vous puissiez dire que cela revient à le laisser grand ouvert, le fait que le chercheur en sécurité ait même essayé de deviner les informations de connexion pourrait leur causer des problèmes.

Dans de nombreux pays, si vous compromettez un système qui ne vous appartient pas, vous êtes puni par la loi, quelles que soient vos intentions. C'est pourquoi, bien qu'ils prétendent avoir pénétré de force dans le système de SpiceJet pour aider la compagnie aérienne à sécuriser correctement les données de ses clients, le chercheur a préféré rester anonyme et éviter la cour. C'est à vous de décider si les lois sont parfaites dans cet aspect particulier, et pendant que vous y êtes, vous voudrez peut-être considérer une chose de plus.

La loi n'est pas aussi stricte dans d'autres cas. Si, par exemple, vous ne parvenez pas à protéger correctement les données personnelles de plus d'un million de personnes, vous pouvez rédiger un énoncé «nous prenons la sécurité très au sérieux» et même refuser d'admettre vos erreurs. Dans de nombreuses régions du monde, vous ne contredirez aucune loi. Vous serez le juge si c'est particulièrement juste.

Par Duran
January 31, 2020
News
Français
January 31, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.