Spicejet無法保護120萬客戶數據免受黑客攻擊

安全研究人員經常批評網絡攻擊受害者的PR團隊對事件的處理不當，必須說，在試圖將尷尬降到最低的過程中，發言人往往會說出不適當或明顯錯誤的說法。以SpiceJet為例。

SpiceJet擁有超過100架飛機，是印度最大的航空公司之一，很多人定期乘坐它。在最近發生數據洩露事件後，SpiceJet發言人表示“飛行人員數據的安全性是神聖不可侵犯的”，航空公司的員工“採取了所有可能的措施來保護和保護這些數據”。但是，如果您看看實際的違規行為是如何發生的，您會發現幾乎沒有什麼東西可以證明這是事實。

弱密碼保護了超過120萬乘客的私人信息

該事件最初由TechCrunch於週四報導，於上個月發生。當時，一名安全研究人員在猜測保護它的弱密碼後便可以訪問該航空公司的一台服務器。

進入內部後，黑客看到了一個未加密的數據庫，其中包含過去四周內乘SpiceJet乘飛機飛行的120萬人的個人信息。詳細信息包括姓名，電話號碼，電子郵件地址和出生日期。儘管SpiceJet被認為是預算承運人，但該數據庫也保存了州官員的個人數據，而且研究人員告訴TechCrunch，“任何知道在哪裡看的人都可以輕鬆訪問”。

SpiceJet沒有對數據洩露通知做出反應

聲稱該航空公司採取“一切可能”的措施以確保飛行員的數據隱私開始崩潰，但同時也存在其他問題。發現弱密碼和未加密的數據庫後，安全研究人員立即嘗試與SpiceJet聯繫，並讓他們知道發生了什麼事情。黑客收到“沒有有意義的回應”。

看到這無濟於事，研究人員隨後與印度的計算機緊急響應小組（CERT-IN）分享了他們的發現。該機構確認了這個問題，並向SpiceJet施加了壓力，要求對其進行修復。最後，數據庫脫機。

儘管如此，SpiceJet尚未正式確認該違規行為，也尚未公開分享有關該事件的任何信息-您必須同意的行為與該航空公司發言人對媒體的說法完全不符。

道德的黑客還是罪犯？

託管公開數據庫的服務器未完全公開。它受到弱密碼的保護，儘管您可能會認為這和讓它敞開一樣好，但是安全研究人員甚至試圖猜測登錄憑據的事實可能會使它們陷入麻煩。

在許多國家/地區，如果您破壞了不屬於您的系統，則無論您的意圖如何，都將受到法律制裁。這就是為什麼儘管他們聲稱他們強行進入SpiceJet系統以幫助航空公司正確保護其客戶數據，但研究人員還是希望保持匿名並避免出庭。由您來決定法律在此特定方面是否完美，而在您這樣做時，您可能還需要考慮另一件事。

在其他情況下，法律並不十分嚴格。例如，如果您未能正確保護超過100萬人的個人數據，則可以提出“我們非常重視安全性”的樣板，甚至拒絕承認自己的錯誤。在世界許多地方，您不會違反任何法律。您將判斷這是否特別公平。