Spicejet nie zdołał ochronić 1,2 miliona danych klientów przed hakerami
Badacze bezpieczeństwa często krytykują zespoły PR ofiar cyberataku za niewłaściwe obchodzenie się z incydentem i trzeba powiedzieć, że często, próbując zminimalizować zażenowanie, rzecznicy zwykle mówią rzeczy niewłaściwe lub po prostu złe. Weźmy na przykład SpiceJet.
Dysponując flotą ponad 100 samolotów, SpiceJet jest jedną z największych linii lotniczych w Indiach i sporo osób lata z nią regularnie. W następstwie niedawnego naruszenia danych rzecznik SpiceJet powiedział, że „bezpieczeństwo danych lotników jest święte” i że pracownicy linii lotniczej „podejmują wszelkie możliwe środki w celu ochrony i ochrony tych danych”. Jeśli jednak przyjrzysz się, jak doszło do faktycznego naruszenia, znajdziesz kilka rzeczy sugerujących, że to prawda.
Table of Contents
Prywatne informacje o ponad 1,2 miliona pasażerów chronione były słabym hasłem
Po raz pierwszy zgłoszony przez TechCrunch w czwartek, incydent miał miejsce w zeszłym miesiącu. Wtedy badacz bezpieczeństwa uzyskał dostęp do jednego z serwerów linii lotniczych po odgadnięciu słabego hasła, które go chroniło.
Wewnątrz haker zobaczył niezaszyfrowaną bazę danych, która zawierała dane osobowe ponad 1,2 miliona osób, które latały ze SpiceJet w ciągu ostatnich czterech tygodni. Szczegółowe informacje obejmowały nazwiska, numery telefonów, adresy e-mail i daty urodzenia. Chociaż SpiceJet jest uważany za nośnika budżetu, baza danych zawierała również dane osobowe urzędników państwowych, a badacz powiedział TechCrunchowi, że „jest łatwo dostępny dla każdego, kto wie, gdzie szukać”.
SpiceJet nie zareagował na powiadomienie o naruszeniu danych
Twierdzenia, że linia lotnicza podejmuje „wszelkie możliwe” środki w celu zapewnienia prywatności danych lotników, zaczynają się rozpadać, ale są też inne problemy. Po odkryciu słabego hasła i niezaszyfrowanej bazy danych badacz bezpieczeństwa natychmiast próbował skontaktować się ze SpiceJet i poinformować go, co się dzieje. Haker nie otrzymał jednak „żadnej znaczącej odpowiedzi”.
Widząc, że to się nie zmierza, naukowiec podzielił się swoimi odkryciami z indyjskim zespołem reagowania na awarie komputerów (CERT-IN). Agencja potwierdziła problem i wywarła presję na SpiceJet, aby go naprawić. Wreszcie baza danych została przełączona w tryb offline.
Mimo to SpiceJet oficjalnie nie potwierdziło naruszenia i nie ujawniło jeszcze publicznie żadnych informacji na temat incydentu - zachowanie, które, musicie się zgodzić, nie jest całkowicie zgodne z tym, co rzecznicy linii lotniczych powiedzieli mediom.
Etyczny haker czy przestępca?
Serwer, na którym znajdowała się odsłonięta baza danych, nie został całkowicie ujawniony. Był chroniony przez słabe hasło i chociaż możesz argumentować, że jest to tak dobre, jak pozostawienie go szeroko otwartym, fakt, że badacz bezpieczeństwa próbował nawet odgadnąć dane uwierzytelniające, może wpędzić ich w kłopoty.
W wielu krajach, jeśli narazisz na szwank system, który nie należy do ciebie, jesteś karany przez prawo, niezależnie od twoich zamiarów. Dlatego, chociaż twierdzą, że brutalnie wcisnęli się do systemu SpiceJet, aby pomóc linii lotniczej w prawidłowym zabezpieczeniu danych swoich klientów, badacz wolał pozostać anonimowy i uniknąć ławce sądowej. Od Ciebie zależy, czy prawa będą doskonałe w tym konkretnym aspekcie, a skoro już to robisz, możesz rozważyć jeszcze jedną rzecz.
Prawo nie jest tak surowe w innych przypadkach. Jeśli, na przykład, nie zabezpieczysz odpowiednio danych osobowych ponad 1 miliona osób, możesz wymyślić oświadczenie „traktujemy bezpieczeństwo bardzo poważnie”, a nawet odmówić przyznania się do twoich błędów. W wielu częściach świata nie będziesz zaprzeczać żadnym prawom. Będziesz oceniać, czy jest to szczególnie sprawiedliwe.
