„Spicejet“ nesugebėjo apsaugoti 1,2 milijono klientų duomenų nuo įsilaužėlių

SpiceJet Data Breach

Saugumo tyrinėtojai dažnai kritikuoja kibernetinės atakos aukų PR komandas už netinkamą elgesį su incidentu, ir reikia pasakyti, kad dažnai, stengdamiesi sumažinti sumišimą, atstovai spaudai linkę sakyti dalykus, kurie yra netinkami arba akivaizdžiai neteisingi. Paimkite, pavyzdžiui, „SpiceJet“.

„SpiceJet“, turinti daugiau nei 100 orlaivių, yra viena didžiausių oro linijų Indijoje, o reguliariai su ja skraido nemažai žmonių. Po neseniai įvykusio duomenų pažeidimo, „SpiceJet“ atstovas teigė, kad „skrajučių duomenų sauga ir sauga yra per daug tiksli“ ir kad oro linijų darbuotojai „imasi visų įmanomų priemonių šiems duomenims apsaugoti ir apsaugoti“. Vis dėlto jei pažvelgsite į tai, kaip įvyko tikrasis pažeidimas, rasite keletą dalykų, kurie leidžia manyti, kad tai tiesa.

Daugiau nei 1,2 mln. Keleivių asmeninė informacija buvo apsaugota silpnu slaptažodžiu

Pirmą kartą „TechCrunch“ pranešė ketvirtadienį, incidentas įvyko praėjusį mėnesį. Tuomet saugumo tyrinėtojas gavo prieigą prie vieno iš oro linijų serverių, atspėjęs silpną slaptažodį, kuris ją apsaugojo.

Patekęs į vidų, įsilaužėlis pamatė nešifruotą duomenų bazę, kurioje buvo daugiau nei 1,2 mln. Žmonių, skridusių su „SpiceJet“ per pastarąsias keturias savaites, asmeninės informacijos. Informacija buvo vardai, telefonų numeriai, el. Pašto adresai ir gimimo datos. Nors „SpiceJet“ yra laikoma biudžeto nešėja, duomenų bazėje buvo laikomi ir valstybės pareigūnų asmens duomenys, o tyrėjas „TechCrunch“ teigė, kad ji „lengvai prieinama visiems, kurie žinojo, kur ieškoti“.

„SpiceJet“ nereagavo į pranešimą apie duomenų pažeidimą

Teiginiai, kad oro linijų bendrovės imasi „visų įmanomų“ priemonių skraidyklių duomenų privatumui užtikrinti, pradeda skleisti, tačiau yra ir kitų problemų. Atradęs silpną slaptažodį ir nešifruotą duomenų bazę, saugumo tyrinėtojas iškart bandė susisiekti su „SpiceJet“ ir pranešti jiems, kas vyksta. Tačiau įsilaužėlis negavo jokio reikšmingo atsakymo.

Pamatęs, kad tai vyksta niekur, tyrėjas pasidalijo savo išvadomis su Indijos reagavimo į kompiuterinę situaciją komanda (CERT-IN). Agentūra patvirtino problemą ir padarė spaudimą „SpiceJet“ ją ištaisyti. Galiausiai duomenų bazė buvo neprisijungusi.

Nepaisant to, „SpiceJet“ oficialiai nepatvirtino pažeidimo ir iki šiol viešai dalijosi bet kokia informacija apie įvykį - elgesys, kuris, jūs turite sutikti, visiškai neatitinka to, ką žiniasklaidos atstovams sakė oro bendrovės atstovai.

Etinis įsilaužėlis ar nusikaltėlis?

Serveris, kuriame buvo talpinama neapsaugota duomenų bazė, nebuvo visiškai atskleistas. Tai buvo apsaugota silpnu slaptažodžiu, ir, nors jūs galite tvirtinti, kad tai taip pat gerai, kaip palikti jį atvirą, tai, kad saugumo tyrinėtojas net bandė atspėti prisijungimo duomenis, galėjo jiems patekti į bėdą.

Daugelyje šalių, jei jūs kompromituojate sistemą, kuri jums nepriklauso, esate baudžiamas įstatymais, nepaisant savo ketinimų. Dėl šios priežasties, nors jie teigia, kad žiauriai privertė patekti į „SpiceJet“ sistemą, kad padėtų oro linijoms tinkamai apsaugoti savo klientų duomenis, tyrėjas pasirinko likti anonimu ir vengti teismo suolo. Jūs turite nuspręsti, ar įstatymai yra tobuli šiuo konkrečiu aspektu, ir kol jūs to nežiūrėsite, galbūt norėsite apsvarstyti dar vieną dalyką.

Kitais atvejais įstatymas nėra toks griežtas. Jei, pavyzdžiui, nesugebate tinkamai apsaugoti daugiau nei 1 milijono žmonių asmens duomenų, galite sugalvoti pranešimą apie „į saugumą žiūrime labai rimtai“ ir net atsisakyti pripažinti savo klaidas. Daugelyje pasaulio šalių neprieštarausite jokiems įstatymams. Jūs būsite teisėjas, ar tai ypač sąžininga.

January 31, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.