Spicejet klarte ikke å beskytte 1,2 millioner kunders data fra hackere

SpiceJet Data Breach

Sikkerhetsforskere kritiserer ofte PR-teamene til ofre for cyberattack for feilaktig håndtering av hendelsen, og det må sies at ofte, i deres forsøk på å minimere forlegenheten, har talspersoner en tendens til å si ting som er upassende eller ren. Ta SpiceJet, for eksempel.

Med en flåte på over 100 fly er SpiceJet et av de største flyselskapene i India, og ganske mange mennesker flyr med den regelmessig. I kjølvannet av et nylig datainnbrudd sa en talsperson for SpiceJet at "sikkerheten og sikkerheten til flyers data er sakrosankt" og at flyselskapets ansatte "iverksetter alle mulige tiltak for å ivareta og beskytte disse dataene." Hvis du ser på hvordan det faktiske bruddet skjedde, finner du imidlertid få ting som kan antyde at dette er sant.

Den private informasjonen til over 1,2 millioner passasjerer ble beskyttet av et svakt passord

Først rapportert av TechCrunch torsdag, skjedde hendelsen i forrige måned. Den gangen fikk en sikkerhetsforsker tilgang til en av flyselskapets servere etter å ha gjettet det svake passordet som beskyttet det.

Når han var inne, så hackeren en ukryptert database som inneholdt den personlige informasjonen til over 1,2 millioner mennesker som hadde fløyet med SpiceJet i løpet av de fire foregående ukene. Detaljene inkluderte navn, telefonnummer, e-postadresser og fødselsdato. Selv om SpiceJet regnes som en budsjettbærer, inneholdt databasen også personopplysningene fra statlige tjenestemenn, og forskeren fortalte TechCrunch at den var "lett tilgjengelig for alle som visste hvor de skulle se."

SpiceJet reagerte ikke på varselet om brudd på data

Påstandene om at flyselskapet iverksetter "alle mulige" tiltak for å sikre at personverns personvern for data begynner å falle fra hverandre, men det er andre problemer også. Etter å ha oppdaget det svake passordet og den ukrypterte databasen, prøvde sikkerhetsforskeren umiddelbart å kontakte SpiceJet og fortelle dem hva som skjedde. Hackeren fikk imidlertid "ingen meningsfull respons".

Da forskeren så at dette ikke gikk noe, delte de deretter funnene sine med Indias Computer Emergency Response Team (CERT-IN). Byrået bekreftet problemet og la press på SpiceJet for å fikse det. Endelig ble databasen tatt uten nett.

Til tross for dette har SpiceJet ikke offisielt bekreftet bruddet og har ennå ikke offentlig gitt noen form for informasjon om hendelsen - en oppførsel som du må være enig i, ikke er helt i tråd med hva flyselskapets talspersoner sa til media.

En etisk hacker eller en kriminell?

Serveren som vert for den eksponerte databasen var ikke fullstendig eksponert. Det ble beskyttet av et svakt passord, og selv om du kanskje kan hevde at dette er så bra som å la det være åpent, var det faktum at sikkerhetsforskeren til og med prøvde å gjette påloggingsinformasjon som kan føre dem til problemer.

I mange land, hvis du går på akkord med et system som ikke tilhører deg, er du straffbar etter lov, uavhengig av intensjoner. Derfor, selv om de hevder at de brute-tvunget seg inn i SpiceJets system for å hjelpe flyselskapet med å sikre kundenes data ordentlig, foretrakk forskeren å være anonym og unngå domstolen. Det er opp til deg å bestemme om lovene er perfekte i dette aspektet, og mens du er inne på det, vil du kanskje vurdere en ting til.

Loven er ikke så streng i andre tilfeller. Hvis du for eksempel ikke klarer å beskytte personopplysningene til mer enn 1 million mennesker på riktig måte, kan du komme med en kjeleplate "vi tar sikkerhet veldig alvorlig" og til og med nekter å innrømme feilene dine. I mange deler av verden vil du ikke være i strid med noen lover. Du vil være dommer på om dette er spesielt rettferdig.

January 31, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.