TOP

KYBEZ

8 velkých aerolinek + 1 špatný systém = ∞ zpřístupněných osobních údajů

Tato jednoduchá rovnice obletěla v týdnu celý svět. V systému pro nákup letenek,
jež využívá osm velkých leteckých přepravních společností se objevila chyba,
která umožňovala získat osobní údaje a další citlivá data o milionech cestujích.

Objev 

Na chybu upozornila společnost Wandera, která se zabývá se bezpečností mobilních
telefonních zařízení. Bezpečnostní zranitelnost v systému pro nákup letenek umožnila
hackerůmzachytit emailovou komunikaci mezi cestujícími a samotným systémem.
Útočníci se dostali k jménu cestujících, jejich palubním lístkům, číslu pasu a číslu letu.

Bez reakce

Ačkoliv Wandera informovala dotčené společnosti o bezpečnostní chybě už před
několika týdny, nebyla tato zranitelnost dosud odstraněna. Hlavní nebezpečí spočívá
v tom, že zákazníkům přijde mail, ve kterém mají odkaz, po jehož prokliknutí se
dostanou do administrace svých údajů. Nicméně údaje v odkazu nejsou nijak
šifrovány (hashovány) či anonymizovány. Dokonce chybí jakýkoliv další autentizační prvek.
Tím pádem se může každý uživatel metodou pokus-omyl dostat do editace účtu jiného
uživatele a využít jeho data, jak uzná za vhodné. Editace neni nijak zabezpečna.
Uživateli stačí pouze znát link.

Národní bezpečnost 

Podobný nedostatek v zabezpečení informací o uživatelích se objevil loni v USA u mobilního
operátora T-mobile
. Ovšem chyba v systému pro online nákup letenek představuje daleko větší hrozbu.
Zvláště pokud tuto chybu budou schopni zneužít skupiny ohrožující národní bezpečnosti našich spojenců.
Z minulosti Bohužel víme, co může nastat, když letadlo ovládne nepřítel.

Každému, kdo cestoval s níže zmíněnými aeroliniemi doporučujeme otestovat svoje údaje v aplikaci HaveIbeenPwned,
která zjistí, zda vaše data unikla a kdy. Pokud jako organizace chcete otestovat svoji úroveň kybernetické bezpečnosti,
zkuste bezplatný analytický nástroj BEAN.

Postižené aerolinky: 

  • Southwest
  • Air France
  • KLM
  • Vueling
  • Jetstar
  • Thomas Cook
  • Transavia
  • Air Europa

Zdroj: www.cyberscoop.com

Doporučujeme: 

Pošta nechala volně přístupná data 60 milionů uživatelů 

Chcete vědět, kde se na internetu nachází vaše osobní údaje? Vyzkoušejte aplikaci Privacy Audit

3 největší výzvy kybernetických školení