Spicejet无法保护120万客户数据免受黑客攻击
安全研究人员经常批评网络攻击受害者的PR团队对事件的处理不当,必须说,在试图将尴尬降到最低的过程中,发言人往往会说出不适当或明显错误的说法。以SpiceJet为例。
SpiceJet拥有超过100架飞机,是印度最大的航空公司之一,很多人定期乘坐它。在最近发生数据泄露事件之后,SpiceJet发言人表示“飞行人员数据的安全性是神圣不可侵犯的”,航空公司的员工“采取了所有可能的措施来保护和保护这些数据”。但是,如果您看看实际的违规行为是如何发生的,您将发现很少的东西表明这是事实。
Table of Contents
弱密码保护了超过120万乘客的私人信息
该事件最初由TechCrunch于周四报道,于上个月发生。当时,一名安全研究人员在猜测保护它的弱密码后便可以访问该航空公司的一台服务器。
进入内部后,黑客看到了一个未加密的数据库,其中包含过去四周内乘SpiceJet乘飞机飞行的120万人的个人信息。详细信息包括姓名,电话号码,电子邮件地址和出生日期。尽管SpiceJet被认为是预算承运人,但该数据库还保存了州官员的个人数据,而且研究人员告诉TechCrunch,“任何知道在哪里看的人都可以轻松访问”。
SpiceJet没有对数据泄露通知做出反应
声称该航空公司采取“一切可能”的措施来确保飞行员的数据隐私开始崩溃,但同时也存在其他问题。发现弱密码和未加密的数据库后,安全研究人员立即尝试与SpiceJet联系,并让他们知道发生了什么事情。黑客收到“没有有意义的回应”。
看到这无济于事,研究人员随后与印度的计算机紧急响应小组(CERT-IN)分享了他们的发现。该机构确认了这个问题,并向SpiceJet施加压力以修复它。最后,数据库脱机。
尽管如此,SpiceJet尚未正式确认该违规行为,也尚未公开分享有关此事件的任何信息-您必须同意的行为与该航空公司发言人对媒体的说法完全不符。
道德的黑客还是罪犯?
托管公开数据库的服务器未完全公开。它受到弱密码的保护,尽管您可能会认为这和让它敞开一样好,但是安全研究人员甚至试图猜测登录凭据的事实可能会使它们陷入麻烦。
在许多国家/地区,如果您破坏了不属于您的系统,则无论您的意图如何,都将受到法律制裁。这就是为什么尽管他们声称自己强行进入SpiceJet系统以帮助航空公司正确保护其客户数据,但研究人员还是希望保持匿名并避免出庭。由您决定法律在此特定方面是否完美,而在您这样做时,您可能还需要考虑另一件事。
在其他情况下,法律并不十分严格。例如,如果您未能正确保护超过100万人的个人数据,则可以提出“我们非常重视安全性”的样板,甚至拒绝承认自己的错误。在世界许多地方,您不会违反任何法律。您将判断这是否特别公平。