Spicejet kunde inte skydda 1,2 miljoner kunders data från hackare
Säkerhetsforskare kritiserar ofta PR-lagen för offren för cyberattacker för att de misslyckats med händelsen, och det måste sägas att ofta, i deras försök att minimera förlägenhet, talar talarna för att säga saker som är antingen olämpliga eller helt felaktiga. Ta till exempel SpiceJet.
Med en flotta på över 100 flygplan är SpiceJet ett av de största flygbolagen i Indien, och en hel del människor flyger med det regelbundet. I följd av ett nyligen inträffat dataöverträdande sade en talesman för SpiceJet att "säkerheten och säkerheten för flygbladets uppgifter är helig" och att flygbolagets anställda "vidtar alla möjliga åtgärder för att skydda och skydda dessa uppgifter." Om du tittar på hur det faktiska överträdelsen skedde, hittar du dock få saker som tyder på att detta är sant.
Table of Contents
Över 1,2 miljoner passagerares privata information skyddades av ett svagt lösenord
Först rapporterades av TechCrunch på torsdag, händelsen inträffade förra månaden. Då fick en säkerhetsforskare tillgång till en av flygbolagets servrar efter att ha gissat det svaga lösenordet som skyddade det.
En gång inuti såg hackaren en okrypterad databas som innehöll den personliga informationen från över 1,2 miljoner människor som hade flyttat med SpiceJet under de senaste fyra veckorna. Detaljerna inkluderade namn, telefonnummer, e-postadresser och födelsedatum. Även om SpiceJet betraktas som en budgetbärare, innehöll databasen även personuppgifter från statliga tjänstemän, och forskaren berättade för TechCrunch att det var "lättillgängligt för alla som visste var de skulle titta."
SpiceJet reagerade inte på meddelandet om dataöverträdelse
Påståendena om att flygbolaget vidtar "alla möjliga" åtgärder för att säkerställa att flygbladets integritetsskydd börjar falla isär, men det finns andra problem också. Efter att ha upptäckt det svaga lösenordet och den okrypterade databasen försökte säkerhetsforskaren omedelbart att kontakta SpiceJet och låta dem veta vad som pågick. Hackaren fick dock "inget meningsfullt svar".
Ser att detta inte gick någonstans delade forskaren sedan sina resultat med Indiens Computer Emergency Response Team (CERT-IN). Byrån bekräftade frågan och satte press på SpiceJet för att åtgärda det. Slutligen togs databasen offline.
Trots detta har SpiceJet inte officiellt bekräftat brottet och har ännu inte offentliggjort någon slags information om händelsen - ett beteende som du måste hålla med om inte stämmer överens med vad flygbolagets talesman sa till media.
En etisk hacker eller en kriminell?
Servern som var värd för den exponerade databasen var inte helt exponerad. Det skyddades av ett svagt lösenord, och även om du kanske hävdar att det är lika bra som att lämna det öppet, var det faktum att säkerhetsforskaren till och med försökte gissa inloggningsuppgifterna kan landa dem i problem.
I många länder, om du äventyrar ett system som inte tillhör dig, är du straffbar enligt lag, oavsett dina avsikter. Det är därför, även om de hävdar att de tappade sig in i SpiceJets system för att hjälpa flygbolaget att säkra sina kunders data korrekt, föredrog forskaren att förbli anonym och undvika domstolens bänk. Det är upp till dig att bestämma om lagarna är perfekta i just den här aspekten, och medan du är på det kanske du vill överväga en sak till.
Lagen är inte så strikt i andra fall. Om du till exempel misslyckas med att skydda personuppgifterna på mer än 1 miljon människor på rätt sätt kan du komma med en pannplatta "vi tar säkerhet mycket allvarligt" och till och med vägra att erkänna dina misstag. I många delar av världen kommer du inte att motsäga några lagar. Du kommer att vara domaren om detta är särskilt rättvist.
