Spicejet kon 1,2 miljoen klantengegevens niet beschermen tegen hackers
Beveiligingsonderzoekers bekritiseren vaak de PR-teams van slachtoffers van cyberaanvallen omdat ze het incident verkeerd hebben behandeld, en het moet gezegd worden dat woordvoerders vaak in hun pogingen om de schaamte te minimaliseren dingen zeggen die ongepast of gewoon verkeerd zijn. Neem bijvoorbeeld SpiceJet.
Met een vloot van meer dan 100 vliegtuigen is SpiceJet een van de grootste luchtvaartmaatschappijen in India, en nogal wat mensen vliegen er regelmatig mee. In de nasleep van een recente datalek zei een SpiceJet-woordvoerder dat de "veiligheid en beveiliging van de gegevens van vliegers heilig is" en dat de werknemers van de luchtvaartmaatschappij "alle mogelijke maatregelen nemen om deze gegevens te beschermen en te beschermen." Als je echter kijkt hoe de daadwerkelijke inbreuk is gebeurd, zul je weinig dingen vinden die suggereren dat dit waar is.
Table of Contents
De privé-informatie van meer dan 1,2 miljoen passagiers werd beschermd door een zwak wachtwoord
Voor het eerst gemeld door TechCrunch op donderdag, vond het incident vorige maand plaats. Destijds kreeg een beveiligingsonderzoeker toegang tot een van de servers van de luchtvaartmaatschappij nadat hij het zwakke wachtwoord had geraden dat hem beschermde.
Eenmaal binnen zag de hacker een niet-gecodeerde database met de persoonlijke informatie van meer dan 1,2 miljoen mensen die de afgelopen vier weken met SpiceJet hadden gevlogen. De details omvatten namen, telefoonnummers, e-mailadressen en geboortedata. Hoewel SpiceJet als een budgetdrager wordt beschouwd, bevatte de database ook de persoonlijke gegevens van overheidsfunctionarissen en de onderzoeker vertelde TechCrunch dat het "gemakkelijk toegankelijk was voor iedereen die wist waar hij moest zoeken".
SpiceJet heeft niet gereageerd op de melding datalek
De beweringen dat de luchtvaartmaatschappij "alle mogelijke" maatregelen neemt om ervoor te zorgen dat de gegevensprivacy van vliegers uiteen begint te vallen, maar er zijn ook andere problemen. Nadat het zwakke wachtwoord en de niet-gecodeerde database waren ontdekt, probeerde de beveiligingsonderzoeker onmiddellijk contact op te nemen met SpiceJet en hen te laten weten wat er aan de hand was. De hacker ontving echter 'geen zinvolle reactie'.
Toen hij zag dat dit nergens heen ging, deelde de onderzoeker vervolgens zijn bevindingen met het Computer Emergency Response Team (CERT-IN) in India. Het bureau bevestigde het probleem en oefende druk uit op SpiceJet om het probleem te verhelpen. Uiteindelijk werd de database offline gehaald.
Desondanks heeft SpiceJet de schending niet officieel bevestigd en moet hij nog enige vorm van informatie over het incident openbaar maken - een gedrag dat, u moet toegeven, niet helemaal in overeenstemming is met wat de woordvoerders van de luchtvaartmaatschappij de media hebben verteld.
Een ethische hacker of een crimineel?
De server die de zichtbare database hostte, was niet volledig zichtbaar. Het werd beschermd door een zwak wachtwoord, en hoewel je zou kunnen beweren dat dit zo goed is als het wijd open te laten, kan het feit dat de beveiligingsonderzoeker zelfs probeerde te raden de inloggegevens in de problemen brengen.
Als je in veel landen een systeem sluit dat niet van jou is, ben je strafbaar, ongeacht je bedoelingen. Dat is de reden waarom, hoewel ze beweren dat ze op brute wijze het SpiceJet-systeem hebben binnengedrongen om de luchtvaartmaatschappij te helpen de gegevens van haar klanten goed te beveiligen, de onderzoeker liever anoniem bleef en de rechterbank vermeed. Het is aan jou om te beslissen of de wetten perfect zijn in dit specifieke aspect, en terwijl je toch bezig bent, wil je misschien nog een ding overwegen.
De wet is niet zo streng in andere gevallen. Als u bijvoorbeeld niet in staat bent om de persoonlijke gegevens van meer dan 1 miljoen mensen goed te beschermen, kunt u de volgende opmerking maken: "Wij nemen beveiliging zeer serieus" en zelfs weigeren uw fouten toe te geven. In veel delen van de wereld zul je geen wetten tegenspreken. U zult beoordelen of dit bijzonder eerlijk is.