Spicejet non è riuscito a proteggere 1,2 milioni di dati dei clienti dagli hacker
I ricercatori di sicurezza criticano spesso le squadre di pubbliche relazioni delle vittime di attacchi informatici per aver maltrattato l'incidente, e bisogna dire che spesso, nei loro tentativi di ridurre al minimo l'imbarazzo, i portavoce tendono a dire cose che sono inopportune o chiaramente sbagliate. Prendi SpiceJet, per esempio.
Con una flotta di oltre 100 aeromobili, SpiceJet è una delle più grandi compagnie aeree in India e parecchie persone volano regolarmente con esso. A seguito di una recente violazione dei dati, un portavoce di SpiceJet ha dichiarato che "la sicurezza dei dati dei volantini è sacrosanta" e che i dipendenti della compagnia aerea "adottano tutte le misure possibili per salvaguardare e proteggere questi dati". Se dai un'occhiata a come si è verificata la violazione effettiva, tuttavia, troverai alcune cose che suggeriscono che ciò è vero.
Table of Contents
Le informazioni private di oltre 1,2 milioni di passeggeri erano protette da una password debole
Segnalato per la prima volta da TechCrunch giovedì, l'incidente è avvenuto il mese scorso. Allora, un ricercatore di sicurezza ha ottenuto l'accesso a uno dei server della compagnia aerea dopo aver indovinato la password debole che lo stava proteggendo.
Una volta all'interno, l'hacker ha visto un database non crittografato che conteneva le informazioni personali di oltre 1,2 milioni di persone che avevano volato con SpiceJet nelle quattro settimane precedenti. I dettagli includevano nomi, numeri di telefono, indirizzi e-mail e date di nascita. Sebbene SpiceJet sia considerato un corriere di bilancio, il database conteneva anche i dati personali dei funzionari statali e il ricercatore disse a TechCrunch che era "facilmente accessibile a chiunque sapesse dove cercare".
SpiceJet non ha reagito alla notifica di violazione dei dati
Le affermazioni secondo cui la compagnia aerea adotta "ogni misura possibile" per garantire la riservatezza dei dati dei volantini stanno iniziando a cadere, ma ci sono anche altri problemi. Dopo aver scoperto la password debole e il database non crittografato, il ricercatore di sicurezza ha immediatamente provato a contattare SpiceJet e far loro sapere cosa stava succedendo. L'hacker ha ricevuto "nessuna risposta significativa", tuttavia.
Vedendo che questo non stava andando da nessuna parte, il ricercatore ha quindi condiviso le proprie scoperte con il team di risposta alle emergenze informatiche dell'India (CERT-IN). L'agenzia ha confermato il problema e fatto pressione su SpiceJet per risolverlo. Infine, il database è stato portato offline.
Nonostante ciò, SpiceJet non ha confermato ufficialmente la violazione e non ha ancora condiviso pubblicamente alcun tipo di informazione sull'incidente - un comportamento che, devi concordare, non è del tutto in linea con quanto dichiarato dai portavoce della compagnia aerea.
Un hacker etico o un criminale?
Il server che ha ospitato il database esposto non è stato completamente esposto. Era protetto da una password debole e, sebbene si possa sostenere che ciò è buono quanto lasciarlo aperto, il fatto che il ricercatore di sicurezza abbia persino tentato di indovinare le credenziali di accesso potrebbe metterli nei guai.
In molti paesi, se comprometti un sistema che non ti appartiene, sei punito dalla legge, indipendentemente dalle tue intenzioni. Ecco perché, sebbene affermino di essere stati costretti a entrare brutalmente nel sistema di SpiceJet per aiutare la compagnia aerea a proteggere correttamente i dati dei propri clienti, il ricercatore ha preferito rimanere anonimo ed evitare la panchina del tribunale. Sta a te decidere se le leggi sono perfette in questo particolare aspetto e, mentre ci sei, potresti voler considerare un'altra cosa.
La legge non è così severa in altri casi. Se, ad esempio, non riesci a proteggere adeguatamente i dati personali di oltre 1 milione di persone, puoi presentare una dichiarazione "prendiamo molto sul serio la sicurezza" e persino rifiutare di ammettere i tuoi errori. In molte parti del mondo, non contraddirai alcuna legge. Sarai il giudice se questo è particolarmente giusto.
