Spicejet não conseguiu proteger 1,2 milhão de dados de clientes de hackers

SpiceJet Data Breach

Os pesquisadores de segurança costumam criticar as equipes de RP das vítimas de ataques cibernéticos por manipular mal o incidente, e deve-se dizer que freqüentemente, em suas tentativas de minimizar o constrangimento, os porta-vozes tendem a dizer coisas que são inapropriadas ou claramente erradas. Veja o SpiceJet, por exemplo.

Com uma frota de mais de 100 aeronaves, a SpiceJet é uma das maiores companhias aéreas da Índia e muitas pessoas voam com ela regularmente. Após uma recente violação de dados, um porta-voz da SpiceJet disse que "a segurança dos dados dos passageiros é sacrossanta" e que os funcionários da companhia aérea "tomam todas as medidas possíveis para salvaguardar e proteger esses dados". No entanto, se você der uma olhada em como ocorreu a violação, encontrará poucas coisas que sugerem que isso é verdade.

As informações privadas de mais de 1,2 milhão de passageiros foram protegidas por uma senha fraca

Relatado pela primeira vez pelo TechCrunch na quinta-feira, o incidente ocorreu no mês passado. Naquela época, um pesquisador de segurança obteve acesso a um dos servidores da companhia aérea depois de adivinhar a senha fraca que a protegia.

Uma vez lá dentro, o hacker viu um banco de dados não criptografado que continha as informações pessoais de mais de 1,2 milhão de pessoas que voaram com o SpiceJet durante as quatro semanas anteriores. Os detalhes incluíam nomes, números de telefone, endereços de email e datas de nascimento. Embora o SpiceJet seja considerado um provedor de orçamento, o banco de dados também continha os dados pessoais de funcionários do estado, e o pesquisador disse ao TechCrunch que era "facilmente acessível para quem sabia onde procurar".

O SpiceJet não reagiu à notificação de violação de dados

As alegações de que a companhia aérea toma "todas as medidas possíveis" para garantir a privacidade dos dados dos passageiros estão começando a desmoronar, mas há outros problemas também. Depois de descobrir a senha fraca e o banco de dados não criptografado, o pesquisador de segurança tentou imediatamente entrar em contato com o SpiceJet e avisar o que estava acontecendo. O hacker não recebeu "resposta significativa", no entanto.

Vendo que isso não estava indo a lugar algum, o pesquisador compartilhou suas descobertas com a Equipe de Resposta a Emergências por Computador da Índia (CERT-IN). A agência confirmou o problema e pressionou o SpiceJet a corrigi-lo. Finalmente, o banco de dados foi colocado offline.

Apesar disso, a SpiceJet não confirmou oficialmente a violação e ainda não divulgou publicamente nenhum tipo de informação sobre o incidente - um comportamento que, você deve concordar, não está totalmente de acordo com o que os porta-vozes da companhia aérea disseram à mídia.

Um hacker ético ou um criminoso?

O servidor que hospedava o banco de dados exposto não foi completamente exposto. Ele estava protegido por uma senha fraca e, embora você possa argumentar que isso é tão bom quanto deixá-la em aberto, o fato de o pesquisador de segurança tentar adivinhar as credenciais de login pode causar problemas.

Em muitos países, se você comprometer um sistema que não lhe pertence, você é punido por lei, independentemente de suas intenções. É por isso que, embora afirmem que foram forçados a entrar no sistema da SpiceJet para ajudar a companhia aérea a proteger os dados de seus clientes adequadamente, o pesquisador preferiu permanecer anônimo e evitar o tribunal. Cabe a você decidir se as leis são perfeitas nesse aspecto em particular e, enquanto você está nisso, pode considerar mais uma coisa.

A lei não é tão rigorosa em outros casos. Se, por exemplo, você não conseguir proteger adequadamente os dados pessoais de mais de 1 milhão de pessoas, poderá criar uma declaração "nós levamos a segurança muito a sério" e até recusar-se a admitir seus erros. Em muitas partes do mundo, você não contradiz nenhuma lei. Você será o juiz sobre se isso é particularmente justo.

January 31, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.