Spicejetは、ハッカーから120万人の顧客のデータを保護できませんでした
セキュリティ研究者は、多くの場合、サイバー攻撃の被害者のPRチームを事件の誤操作で批判します。そして、恥ずかしさを最小限に抑えるための試みにおいて、スポークスマンは不適切または明白な間違いのいずれかを言う傾向があることを頻繁に言わなければなりません。たとえば、SpiceJetを取り上げます。
100機以上の航空機を保有するSpiceJetは、インド最大の航空会社の1つであり、かなりの数の人々が定期的に飛行しています。最近のデータ侵害の余波で、SpiceJetの広報担当者は、「チラシのデータの安全とセキュリティは神聖なものであり」、航空会社の従業員は「このデータを保護および保護するためにあらゆる可能な手段を講じている」と述べました。ただし、実際の侵害がどのように発生したかを見ると、これが真実であることを示唆するものがほとんど見つかりません。
Table of Contents
120万人以上の乗客の個人情報は、弱いパスワードで保護されていました
木曜日にTechCrunchによって最初に報告された、事件は先月起こった。当時、セキュリティ研究者は、それを保護している弱いパスワードを推測した後、航空会社のサーバーの1つにアクセスしました。
ハッカーは内部に入ると、過去4週間にSpiceJetで飛行した120万人以上の個人情報を含む暗号化されていないデータベースを見ました。詳細には、名前、電話番号、電子メールアドレス、生年月日が含まれます。 SpiceJetは予算のキャリアと見なされていますが、データベースには州の役人の個人データも保持されており、研究者はTechCrunchに「どこを見るべきかを知っている人なら誰でも簡単にアクセスできる」と語った。
SpiceJetはデータ侵害通知に反応しませんでした
航空会社がチラシのデータプライバシーが確実にばらばらになり始めていることを保証するために「可能な限り」の手段を講じているという主張は、他にも問題があります。脆弱なパスワードと暗号化されていないデータベースを発見した後、セキュリティ研究者はすぐにSpiceJetに連絡して、何が起こっているのかを知らせようとしました。しかし、ハッカーは「意味のない応答」を受け取りました。
これがどこにも行かないことを確認して、研究者は調査結果をインドのコンピューター緊急対応チーム(CERT-IN)と共有しました。代理店はこの問題を確認し、SpiceJetに修正するよう圧力をかけました。最後に、データベースがオフラインになりました。
それにもかかわらず、SpiceJetは違反を公式に確認しておらず、インシデントに関するあらゆる種類の情報をまだ公開していません。これは、航空会社の広報担当者がメディアに語った内容と完全に一致しない行動です。
倫理的なハッカーか犯罪者か?
公開されたデータベースをホストしたサーバーは、完全に公開されていませんでした。弱いパスワードで保護されており、これは広く開いたままにするのと同じくらい良いと主張するかもしれませんが、セキュリティ研究者がログイン資格情報を推測しようとしたことで問題に突き当たる可能性があります。
多くの国では、自分が所有していないシステムを侵害すると、意図に関係なく法律で罰せられます。そのため、彼らは航空会社が顧客のデータを適切に保護するのを助けるためにSpiceJetのシステムにブルートフォースを行ったと主張しているが、研究者は匿名のままで裁判所を避けることを好んだ。法律がこの特定の側面で完全であるかどうかを決定するのはあなた次第であり、あなたがそれに取り組んでいる間に、あなたはもう一つのことを考えたいかもしれません。
他の場合、法律はそれほど厳密ではありません。たとえば、100万人以上の個人データを適切に保護できなかった場合、「セキュリティを非常に真剣に考えています」という定型文を作成し、間違いを認めることさえ拒否できます。世界の多くの地域では、法律に矛盾することはありません。あなたは、これが特に公平であるかどうかを判断します。