Spicejet не удалось защитить данные 1,2 миллиона клиентов от хакеров
Исследователи безопасности часто критикуют пиар-команды жертв кибератак за неправильное обращение с инцидентом, и нужно сказать, что часто, пытаясь свести к минимуму смущение, представители пресс-службы, как правило, говорят вещи, которые являются либо неуместными, либо просто неправильными. Возьмите SpiceJet, например.
SpiceJet - это одна из крупнейших авиакомпаний в Индии, имеющая парк из более чем 100 самолетов, и многие люди регулярно летают на ней. После недавнего взлома данных представитель SpiceJet заявил, что «безопасность и сохранность данных о летчиках священна» и что сотрудники авиакомпании «предпринимают все возможные меры для защиты и защиты этих данных». Однако если вы посмотрите, как произошло фактическое нарушение, вы найдете несколько вещей, позволяющих предположить, что это правда.
Table of Contents
Личная информация более 1,2 миллиона пассажиров была защищена слабым паролем
Впервые сообщили TechCrunch в четверг, инцидент произошел в прошлом месяце. Тогда исследователь безопасности получил доступ к одному из серверов авиакомпании, угадав слабый пароль, который его защищал.
Оказавшись внутри, хакер увидел незашифрованную базу данных, которая содержала личную информацию более 1,2 миллиона человек, которые летали с SpiceJet в течение предыдущих четырех недель. Детали включали имена, номера телефонов, адреса электронной почты и даты рождения. Хотя SpiceJet считается бюджетным носителем, база данных также содержала личные данные государственных чиновников, и исследователь сообщил TechCrunch, что она «легко доступна всем, кто знает, где искать».
SpiceJet не реагировал на уведомление о нарушении данных
Утверждения о том, что авиакомпания принимает «все возможные» меры для обеспечения конфиденциальности данных летчиков, начинают рушиться, но есть и другие проблемы. После обнаружения слабого пароля и незашифрованной базы данных, исследователь безопасности немедленно попытался связаться с SpiceJet и сообщить им, что происходит. Хакер получил "никакого значимого ответа", однако.
Видя, что это ни к чему не привело, исследователь поделился своими выводами с индийской группой реагирования на компьютерные инциденты (CERT-IN). Агентство подтвердило проблему и оказало давление на SpiceJet, чтобы исправить ее. Наконец, база данных была отключена.
Несмотря на это, SpiceJet официально не подтвердил факт нарушения и еще не обнародовал какую-либо информацию об инциденте - поведение, которое, вы должны согласиться, не полностью соответствует тому, что представители прессы авиакомпании сообщили средствам массовой информации.
Этичный хакер или преступник?
Сервер, на котором размещена открытая база данных, не был полностью открыт. Он был защищен слабым паролем, и хотя вы можете утверждать, что это все равно, что оставить его широко открытым, тот факт, что исследователь безопасности даже пытался угадать учетные данные для входа, может привести к проблемам.
Во многих странах, если вы скомпрометировали систему, которая вам не принадлежит, вы будете наказаны по закону, независимо от ваших намерений. Вот почему, хотя они и утверждают, что они грубо взломали систему SpiceJet, чтобы помочь авиакомпании должным образом защитить данные своих клиентов, исследователь предпочел остаться анонимным и избежать суда. Вам решать, совершенны ли законы в этом конкретном аспекте, и пока вы занимаетесь этим, вы можете рассмотреть еще одну вещь.
Закон не так уж строг в других случаях. Если, например, вы не можете должным образом защитить личные данные более чем 1 миллиона человек, вы можете придумать шаблон «мы очень серьезно относимся к безопасности» и даже отказаться признать свои ошибки. Во многих частях мира вы не будете противоречить никаким законам. Вы будете судить, насколько это справедливо.
