Spicejet não conseguiu proteger 1,2 milhão de dados de clientes de hackers
Os pesquisadores de segurança costumam criticar as equipes de RP das vítimas de ataques cibernéticos por manipular mal o incidente, e deve-se dizer que freqüentemente, em suas tentativas de minimizar o constrangimento, os porta-vozes tendem a dizer coisas que são inapropriadas ou claramente erradas. Veja o SpiceJet, por exemplo.
Com uma frota de mais de 100 aeronaves, a SpiceJet é uma das maiores companhias aéreas da Índia e muitas pessoas voam com ela regularmente. Após uma recente violação de dados, um porta-voz da SpiceJet disse que "a segurança dos dados dos passageiros é sacrossanta" e que os funcionários da companhia aérea "tomam todas as medidas possíveis para salvaguardar e proteger esses dados". No entanto, se você der uma olhada em como ocorreu a violação, encontrará poucas coisas que sugerem que isso é verdade.
Índice
As informações privadas de mais de 1,2 milhão de passageiros foram protegidas por uma senha fraca
Relatado pela primeira vez pelo TechCrunch na quinta-feira, o incidente ocorreu no mês passado. Naquela época, um pesquisador de segurança obteve acesso a um dos servidores da companhia aérea depois de adivinhar a senha fraca que a protegia.
Uma vez lá dentro, o hacker viu um banco de dados não criptografado que continha as informações pessoais de mais de 1,2 milhão de pessoas que voaram com o SpiceJet durante as quatro semanas anteriores. Os detalhes incluíam nomes, números de telefone, endereços de email e datas de nascimento. Embora o SpiceJet seja considerado um provedor de orçamento, o banco de dados também continha os dados pessoais de funcionários do estado, e o pesquisador disse ao TechCrunch que era "facilmente acessível para quem sabia onde procurar".
O SpiceJet não reagiu à notificação de violação de dados
As alegações de que a companhia aérea toma "todas as medidas possíveis" para garantir a privacidade dos dados dos passageiros estão começando a desmoronar, mas há outros problemas também. Depois de descobrir a senha fraca e o banco de dados não criptografado, o pesquisador de segurança tentou imediatamente entrar em contato com o SpiceJet e avisar o que estava acontecendo. O hacker não recebeu "resposta significativa", no entanto.
Vendo que isso não estava indo a lugar algum, o pesquisador compartilhou suas descobertas com a Equipe de Resposta a Emergências por Computador da Índia (CERT-IN). A agência confirmou o problema e pressionou o SpiceJet a corrigi-lo. Finalmente, o banco de dados foi colocado offline.
Apesar disso, a SpiceJet não confirmou oficialmente a violação e ainda não divulgou publicamente nenhum tipo de informação sobre o incidente - um comportamento que, você deve concordar, não está totalmente de acordo com o que os porta-vozes da companhia aérea disseram à mídia.
Um hacker ético ou um criminoso?
O servidor que hospedava o banco de dados exposto não foi completamente exposto. Ele estava protegido por uma senha fraca e, embora você possa argumentar que isso é tão bom quanto deixá-la em aberto, o fato de o pesquisador de segurança tentar adivinhar as credenciais de login pode causar problemas.
Em muitos países, se você comprometer um sistema que não lhe pertence, você é punido por lei, independentemente de suas intenções. É por isso que, embora afirmem que foram forçados a entrar no sistema da SpiceJet para ajudar a companhia aérea a proteger os dados de seus clientes adequadamente, o pesquisador preferiu permanecer anônimo e evitar o tribunal. Cabe a você decidir se as leis são perfeitas nesse aspecto em particular e, enquanto você está nisso, pode considerar mais uma coisa.
A lei não é tão rigorosa em outros casos. Se, por exemplo, você não conseguir proteger adequadamente os dados pessoais de mais de 1 milhão de pessoas, poderá criar uma declaração "nós levamos a segurança muito a sério" e até recusar-se a admitir seus erros. Em muitas partes do mundo, você não contradiz nenhuma lei. Você será o juiz sobre se isso é particularmente justo.