מחקר מגלה שחברות נסיעות מובילות עדיין נאבקות בשמירה על בטיחות הנתונים שלך

2024 מְחַבֵּר: Cyrus Reynolds | [email protected]. שונה לאחרונה: 2024-02-07 23:58

כאשר אתה מזמין טיול מקוון, חשב על כל הנתונים האישיים שאתה משתף - הכתובת שלך, פרטי הדרכון שלך, ובאופן טבעי, פרטי כרטיס האשראי שלך. אם אתה מזמין דרך חברת תעופה גדולה או רשת מלונות, אתה כנראה מניח שהמידע שלך בטוח ומאובטח. עם זאת, דו ח אחרון מאת אשר? מראה ששמות גדולים רבים במגזרי הנסיעות והאירוח ממשיכים להיאבק בשמירה על בטיחות נתוני הלקוחות.

החקירה, שנערכה ביוני 2020 בשיתוף חברת האבטחה 6point6, מציינת כי אתרי האינטרנט של 98 חברות נסיעות שונות מכילות מאות נקודות תורפה שעלולות להיות מנוצלות על ידי צד שלישי. החברות נעות מרשתות מלונות וחברות תעופה ועד למפעילי תיירות וקווי שייט.

בין העבריינים הקשים ביותר היו חברות בריטיש איירווייס, מריוט ו- easyJet-3 שכבר היו יעד להפרות מידע, וכתוצאה מכך המידע האישי של קרוב ל-350 מיליון לקוחות הודלף.

"למרבה הצער, סוגים אלה של הפרות אבטחה נפוצות להפליא. זה מטריד מכיוון שחברות אלה שומרות מידע רגיש של לקוחות כמו שמות משתמשים, כתובות, כתובות דוא"ל ופרטי תשלום, כך שאם הנתונים ייחשפו, הם עלולים לִהיוֹתמה שהופך את הלקוחות שלהם לרגישים יותר לגניבת זהות, שעלולה לגרום להפסדים כספיים", אמר גייב טרנר, מומחה לאבטחת סייבר ועורך ראשי של אתר האבטחה הדיגיטלית Security.org ל-TripSavvy. "חברות צריכות להשקיע יותר באבטחה דיגיטלית, במיוחד אם הן מטפלות מידע אישי מזהה של לקוחות."

איזה? מצא גם שחלק ניכר מנתוני הנסיעות הגנובים היו זמינים ברשת האפלה, מציאת נתונים בשווי 7.2GB מאתר הזמנת הנסיעות ixigo ניתן לרכוש תמורת 262 דולר. מידע זה כלל שמות, כתובות, סיסמאות, מספרי דרכונים ומידע רגיש אחר.

המחקר של איזה? בדק את כל הדומיינים ותת-הדומיינים הקשורים לאתר הראשי של החברה המושפעת, כולל פורטלי התחברות לעובדים, כדי למצוא הזדמנויות בהן האקרים יכולים לקבל גישה למידע רגיש. בביצוע המחקר, החוקרים לא השתמשו בשיטות פריצה מורכבות, אלא בכלים זמינים חוקית הנגישים לכל אחד.

עם זאת, חלק מהחברות המוזכרות בדוח מתעקשות שאמצעי אבטחת הסייבר שלהן נאותים. "אנחנו מתייחסים ברצינות רבה להגנה על הנתונים של הלקוחות שלנו וממשיכים להשקיע רבות באבטחת סייבר", אמרה קתרין ווילסון, דוברת British Airways, ל-TripSavvy. "יש לנו שכבות הגנה מרובות והיינו מרוצים שיש לנו את הבקרות הנכונות כדי לצמצם פגיעויות שזוהו. בקרות אלו לרוב אינן מזוהות בסריקות חיצוניות גסות."

British Airways הייתה היעד למתקפת סייבר ב-2018אשר השמות, כתובות האימייל ופרטי כרטיסי האשראי של קרוב ל-500,000 לקוחות נגנבו. בתגובה, ה-ICO הציע קנס של 230 מיליון דולר, הקנס הגדול ביותר אי פעם במסגרת תקנת הגנת המידע הכללית. איזה? המחקר של המחקר חשף 115 פגיעויות פוטנציאליות, 12 מהן נחשבו "קריטיות", באתר האינטרנט של בריטיש איירווייס. הוא גם מצא 497 נקודות תורפה מדהימות באתר האינטרנט של מריוט ו-222 נקודות תורפה בתשעת התחומים של איזי ג'ט. אפילו חברות שעדיין לא חוו פרצת מידע בפרופיל גבוה, כמו פורט וורת', אמריקן איירליינס שבסיסה בטקסס, נמצאו כבעלי נקודות תורפה.

המסקנה של המחקר היא ששלוש החברות, בין היתר, "לא הצליחו להפיק לקחים מפרצות נתונים קודמות והן משאירות את הלקוחות שלהן חשופים לפושעי סייבר אופורטוניסטים", כתב רורי בולנד, אשר? העורך של נסיעות. "חברות נסיעות חייבות לשפר את המשחק שלהן ולהגן טוב יותר על הלקוחות שלהן מפני איומי סייבר."