A Spicejet nem tudta megvédeni az 1,2 millió ügyféladatot a hackerektől
A biztonsági kutatók gyakran bírálják a kibertámadás áldozatainak PR-csapatait az eset helytelen kezelése miatt, és el kell mondani, hogy a zavar minimalizálására irányuló törekvéseik során a szóvivõk hajlamosak olyan dolgokat mondani, amelyek vagy nem megfelelõek, vagy nyilvánvalóan rosszak. Vegyük például a SpiceJet-et.
A több mint 100 repülőgép flottájával a SpiceJet az egyik legnagyobb légitársaság Indiában, és rengeteg ember repül vele rendszeresen. Egy nemrégiben elkövetett adatsértés következtében a SpiceJet szóvivője elmondta, hogy "a repülõgépek adatainak biztonsága szentségtelen", és hogy a légitársaság alkalmazottai "minden lehetséges intézkedést megtesznek ezen adatok védelme és védelme érdekében". Ha azonban megnézi, hogyan történt a tényleges jogsértés, akkor néhány dolgot találhat arra, hogy ez igaz legyen.
Table of Contents
Több mint 1,2 millió utas személyes adatait gyenge jelszó védte
Az első eseményről a TechCrunch csütörtökön számolt be, és az incidens a múlt hónapban történt. Akkoriban egy biztonsági kutató hozzáférést kapott a légitársaság egyik szerveréhez, miután kitalálta a védő jelszó gyenge jelszavát.
A hacker belépett egy titkosítatlan adatbázist, amely több mint 1,2 millió ember személyes adatait tartalmazza, akik az elmúlt négy hétben repültek a SpiceJet-rel. A részletek tartalmazták a neveket, telefonszámokat, e-mail címeket és a születési időket. Noha a SpiceJet költségvetési hordozónak tekinthető, az adatbázis az állami tisztviselők személyes adatait is őrizte, és a kutató azt mondta a TechCrunch-nak, hogy "mindenki számára könnyen hozzáférhető, aki tudta, hol kell keresni."
A SpiceJet nem reagált az adatok megsértéséről szóló értesítésre
Az állítások, hogy a légitársaság "minden lehetséges" intézkedést megtesznek, hogy biztosítsák a repülõgépek adatvédelmét, szétesnek, de vannak más kérdések is. Miután felfedezte a gyenge jelszót és a titkosítatlan adatbázist, a biztonsági kutató azonnal megpróbálta felvenni a kapcsolatot a SpiceJettel, és tudatni velük, mi folyik itt. A hacker azonban "nem kapott érdemi választ".
Látva, hogy ez sehova nem megy, a kutató ezt követően megosztotta megállapításait India számítógépes veszélyhelyzet-elhárítási csoportjával (CERT-IN). Az ügynökség megerősítette a problémát, és nyomást gyakorolt a SpiceJetre annak javítása érdekében. Végül az adatbázis offline állapotba került.
Ennek ellenére a SpiceJet még nem hivatalosan is megerősítette a jogsértést, és még nem nyilvánosságra hozott bármilyen információt az eseményről - olyan magatartás, amelyhez Önnek egyet kell értenie, nem teljesen összhangban áll azzal, amit a légitársaság szóvivői elmondtak a média számára.
Etikai hackerek vagy bűnözők?
A kiszolgálót, amely a feltárt adatbázist üzemeltette, nem volt teljesen felfedve. Egy gyenge jelszóval védett, és bár azt állíthatja, hogy ez olyan jó, mintha teljesen nyitva hagyná, az a tény, hogy a biztonsági kutató megpróbálta kitalálni a bejelentkezési hitelesítő adatokat, bajba hozhatja őket.
Sok országban, ha veszélybe sodor egy olyan rendszert, amely nem Önhöz tartozik, törvény bünteti Önt, szándékától függetlenül. Ezért, bár azt állítják, hogy brutálisan kényszerítették a SpiceJet rendszerébe, hogy segítsék a légitársaságot ügyfelei adatainak megfelelő biztonságában, a kutató inkább anonim maradt, és elkerülte a bírósági padot. Ön dönti el, hogy a törvények tökéletesek-e ebben a tekintetben, és amíg Ön rajta van, érdemes még egy dolgot megfontolnia.
Más esetekben a törvény nem annyira szigorú. Ha például nem sikerül megfelelően megvédeni több mint egymillió ember személyes adatait, előállhat egy „rendkívül komolyan vesszük a biztonságot” nyilatkozatot, sőt megtagadhatja a hibáinak beismerését. A világ sok részén nem fogsz ellentmondni semmilyen törvénynek. Ön lesz a bíró abban, hogy ez különösen tisztességes-e.